Google ha anunciat el 9 de setembre una actualització de seguretat per a Chrome que corregeix dues vulnerabilitats rellevants: una catalogada com a crítica i una altra d'alta gravetat. La companyia recomana instal·lar el pegat com més aviat millor per minimitzar el risc d'explotació, especialment en equips d'ús diari.
Les dues falles van ser notificades a través del programa de recompenses de Google durant l'agost i ja tenen identificadors oficials. Es tracta de CVE-2025-10200 (crítica) i CVE-2025-10201 (alta). Tot i que l'impacte varia, totes dues obren la porta a escenaris d'atac que convé tallar amb una actualització immediata.
Actualització d'urgència a Chrome
La decisió crítica, registrada com CVE-2025-10200, és un error de tipus use-after-free al component ServiceWorker. En termes senzills, el navegador intenta utilitzar memòria ja alliberada, una cosa que pot desencadenar corrupció de dades o permetre la execució de codi arbitrari si es combina amb altres tècniques.
Un atacant podria preparar un lloc maliciós perquè, en visitar-lo amb Chrome, s'executi codi al sistema de la víctima. Aquest vector, basat en contingut web especialment dissenyat, converteix la vulnerabilitat en una prioritat de pegat per a usuaris i organitzacions.
Segon error: alta gravetat a Mojo
La segona vulnerabilitat, CVE-2025-10201, es descriu com una implementació inapropiada a Mojo, el conjunt de biblioteques que utilitza Chromium per a la comunicació entre processos. El risc principal és que l'atacant pugui debilitar o comprometre el sandbox del navegador, un component clau que aïlla processos per limitar l'abast d'un exploit.
Tot i que no s'han detallat públicament tots els efectes pràctics, aquest tipus de defectes a Mojo poden facilitar cadenes d'atac més complexes. Per això, la recomanació és aplicar el pegat sense demora i verificar la versió instal·lada a tots els equips.
Versions corregides i com actualitzar
Google ha publicat les versions que corregeixen tots dos errors a Windows, macOS i Linux. Si el vostre navegador no s'ha actualitzat automàticament, convé revisar i actualitzar manualment:
- Windows: 140.0.7339.127 / .128
- macOS: 140.0.7339.132 / .133
- Linux: 140.0.7339.127
Passos per forçar l'actualització a Chrome (escriptori): Menú > Ajuda > Informació de Google Chrome. El navegador cercarà la darrera compilació disponible i, si escau, iniciarà la descàrrega.
- Obre el menú de tres punts a la part superior dreta.
- Entra a Ajuda.
- Seleccioneu Informació de Google Chrome.
- Espera la descàrrega i prem reiniciar si se sol·licita.
El procés sol trigar només uns segons. Després de reiniciar, verifica que el número de versió coincideix amb les compilacions corregides per garantir que el pegat s'ha aplicat correctament.
Altres navegadors basats en Chromium
Com les fallades resideixen en components de Crom, navegadors com Microsoft Edge, Brave, Opera o Vivaldi també es poden veure afectats. El més habitual és que els seus desenvolupadors alliberin pegats en 24-48 hores des de la publicació de Google, però convé comprovar-ho manualment.
Si utilitzeu algun d'aquests navegadors, entreu al vostre menú de configuració i força la cerca d'actualitzacions. Mantenir-los al dia redueix de manera notable la superfície d'atac i evita problemes de seguretat innecessaris.
Recompenses i cronologia de la troballa
L'informe de la decisió crítica va arribar de la mà de Looben Yang el 22 d'agost, amb una recompensa assignada per Google de 43.000 dòlars. La vulnerabilitat d'alta gravetat va ser reportada per Sahan Ferran juntament amb un investigador anònim, amb una recompensa de 30.000 dòlars.
El comunicat públic de Google es va publicar el 9 de setembre i detalla que les correccions ja estan disponibles. La via oficial per obtenir-les és sempre el mateix actualitzador de Chrome o la pàgina web de Google; evita fonts de tercers.
Preguntes ràpides
Afecta la versió mòbil de Chrome?
Segons la informació facilitada, l'abast d'aquestes correccions se centra Windows, macOS i Linux descriptori. No s'ha indicat cap impacte en mòbils.
Quin risc corro si no actualitzo?
Podries exposar-te a execució de codi oa ruptura de l'aïllament del navegador, a més de degradació de rendiment i privadesa compromesa.
He d'actualitzar també les extensions?
No estan relacionades amb aquests dos CVE, però és recomanable mantenir-les sempre actualitzades per evitar vectors addicionals datac.
La clau ara és senzilla: mantenir Chrome i els navegadors basats en Chromium a les versions corregides, verificar la compilació instal·lada i utilitzar només fonts oficials. Amb el pegat aplicat, el risc associat a CVE-2025-10200 i CVE-2025-10201 queda mitigat en sistemes Windows, macOS i Linux.
