Google ha publicado una
actualización de seguridad para Chrome que soluciona media docena de
vulnerabilidades, una de las cuales es explotada activamente
por atacantes para evadir la protección sandbox del navegador.
La vulnerabilidad identificada como
CVE-2025-6558
(gravedad alta con CVSS 8.8) fue descubierta por
investigadores del Grupo de Análisis de Amenazas (TAG) de Google el 23 de
junio.
El problema de seguridad se describe como una validación insuficiente de
entradas no confiables en ANGLE y la GPU, que
afecta a las versiones de Google Chrome anteriores a la 138.0.7204.157.
Un atacante que lo explote con éxito podría
escapar de la sandbox utilizando una página HTML especialmente
diseñada.
ANGLE (Almost Native Graphics Layer Engine) es una capa de abstracción
gráfica de código abierto que Chrome utiliza para traducir las llamadas a la
API de OpenGL ES a Direct3D, Metal, Vulkan y OpenGL.
Dado que ANGLE procesa comandos de GPU de fuentes no confiables, como sitios
web que utilizan WebGL, los errores en este componente pueden tener un impacto
crítico en la seguridad. La vulnerabilidad permite a un atacante remoto,
mediante una página HTML especialmente diseñada, ejecutar código arbitrario
dentro del proceso de la GPU del navegador. Google no ha proporcionado
detalles técnicos sobre cómo la activación del problema podría permitir
escapar del entorno de pruebas del navegador.
«El acceso a los detalles del error y a los enlaces podría mantenerse
restringido hasta que la mayoría de los usuarios reciban una actualización
con una solución»,
afirma Google en el boletín de seguridad.
«También mantendremos las restricciones si el error existe en una
biblioteca de terceros de la que dependen otros proyectos, pero que aún no
han sido corregidos».
El componente de entorno de pruebas de Chrome es un mecanismo de seguridad
fundamental que aísla los procesos del navegador del sistema operativo
subyacente, impidiendo así que el malware se propague fuera del navegador web
y comprometa el dispositivo.
Dado el alto riesgo y el estado de explotación activa de CVE-2025-6558, se
recomienda a los usuarios de Chrome que actualicen a la versión
138.0.7204.157/.158 lo antes posible, según su sistema operativo.
La actualización de seguridad actual de Chrome corrige cinco
vulnerabilidades más,
incluyendo una falla de alta gravedad en el motor V8, identificada como
CVE-2025-7656, y un problema de uso después de la liberación en WebRTC,
identificado como CVE-2025-7657. Ninguna de estas cinco vulnerabilidades se
identificó como explotada activamente.
CVE-2025-6558 es la quinta vulnerabilidad explotada activamente descubierta y
corregida en el navegador Chrome desde principios de año.
En marzo, Google corrigió una falla de escape de sandbox de alta gravedad,
CVE-2025-2783, descubierta por investigadores de Kaspersky. Esta vulnerabilidad se había
explotado en ataques de espionaje dirigidos contra agencias gubernamentales y
medios de comunicación rusos, distribuyendo malware.
Dos meses después, en mayo, Google publicó otra actualización para corregir
CVE-2025-4664, una vulnerabilidad de día cero en Chrome que permitía a los atacantes
secuestrar cuentas de usuario.
En junio, la compañía abordó otro problema grave,
CVE-2025-5419, una vulnerabilidad de lectura/escritura fuera de límites en el motor
JavaScript V8 de Chrome, reportada por Benoît Sevens y Clément Lecigne de
Google TAG.
A principios de este mes, Google corrigió la cuarta vulnerabilidad de día cero
en Chrome,
CVE-2025-6554, también en el motor V8, descubierta por investigadores de GTAG.
Fuente:
BC