Google ha anunciado el 9 de septiembre una actualización de seguridad para Chrome que corrige dos vulnerabilidades relevantes: una catalogada como crítica y otra de alta gravedad. La compañía recomienda instalar el parche cuanto antes para minimizar el riesgo de explotación, especialmente en equipos de uso diario.

Ambas fallas fueron notificadas a través del programa de recompensas de Google durante agosto y ya disponen de identificadores oficiales. Se trata de CVE-2025-10200 (crítica) y CVE-2025-10201 (alta). Aunque el impacto varía, las dos abren la puerta a escenarios de ataque que conviene atajar con una actualización inmediata.

Actualización de urgencia en Chrome

El fallo crítico, registrado como CVE-2025-10200, es un error de tipo use-after-free en el componente ServiceWorker. En términos sencillos, el navegador intenta usar memoria ya liberada, algo que puede desencadenar corrupción de datos o permitir la ejecución de código arbitrario si se combina con otras técnicas.

Un atacante podría preparar un sitio malicioso para que, al visitarlo con Chrome, se ejecute código en el sistema de la víctima. Este vector, basado en contenido web especialmente diseñado, convierte a la vulnerabilidad en una prioridad de parcheo para usuarios y organizaciones.

Segundo fallo: alta gravedad en Mojo

La segunda vulnerabilidad, CVE-2025-10201, se describe como una implementación inapropiada en Mojo, el conjunto de bibliotecas que usa Chromium para la comunicación entre procesos. El riesgo principal reside en que el atacante pueda debilitar o comprometer el sandbox del navegador, un componente clave que aísla procesos para limitar el alcance de un exploit.

Aunque no se han detallado públicamente todos los efectos prácticos, este tipo de defectos en Mojo pueden facilitar cadenas de ataque más complejas. Por ello, la recomendación es aplicar el parche sin demora y verificar la versión instalada en todos los equipos.

Versiones corregidas y cómo actualizar

Google ha publicado las versiones que corrigen ambos fallos en Windows, macOS y Linux. Si tu navegador no se ha actualizado automáticamente, conviene revisar y actualizar manualmente:

• Windows: 140.0.7339.127/.128
• macOS: 140.0.7339.132/.133
• Linux: 140.0.7339.127

Pasos para forzar la actualización en Chrome (escritorio): Menú > Ayuda > Información de Google Chrome. El navegador buscará la última compilación disponible y, si procede, iniciará la descarga.

• Abre el menú de tres puntos en la parte superior derecha.
• Entra en Ayuda.
• Selecciona Información de Google Chrome.
• Espera la descarga y pulsa Reiniciar si se solicita.

El proceso suele tardar solo unos segundos. Tras reiniciar, verifica que el número de versión coincide con las compilaciones corregidas para garantizar que el parche se ha aplicado correctamente.

Otros navegadores basados en Chromium

Como los fallos residen en componentes de Chromium, navegadores como Microsoft Edge, Brave, Opera o Vivaldi también pueden verse afectados. Lo habitual es que sus desarrolladores liberen parches en 24-48 horas desde la publicación de Google, pero conviene comprobarlo manualmente.

Si usas alguno de estos navegadores, entra en su menú de configuración y fuerza la búsqueda de actualizaciones. Mantenerlos al día reduce de forma notable la superficie de ataque y evita problemas de seguridad innecesarios.

Recompensas y cronología del hallazgo

El informe del fallo crítico llegó de la mano de Looben Yang el 22 de agosto, con una recompensa asignada por Google de 43.000 dólares. La vulnerabilidad de alta gravedad fue reportada por Sahan Fernando junto a un investigador anónimo, con una recompensa de 30.000 dólares.

El comunicado público de Google se publicó el 9 de septiembre y detalla que las correcciones ya están disponibles. La vía oficial para obtenerlas es siempre el propio actualizador de Chrome o la página web de Google; evita fuentes de terceros.

Preguntas rápidas

La clave ahora es sencilla: mantener Chrome y los navegadores basados en Chromium en las versiones corregidas, verificar la compilación instalada y utilizar solo fuentes oficiales. Con el parche aplicado, el riesgo asociado a CVE-2025-10200 y CVE-2025-10201 queda mitigado en sistemas Windows, macOS y Linux.