Ayer miércoles, Google publicó actualizaciones de seguridad para su navegador
Chrome para corregir tres fallos de seguridad, incluyendo uno que, según
afirma, se ha explotado activamente.
La vulnerabilidad, de alta gravedad, se rastrea con el ID de seguimiento de
problemas de Chromium «466192044«. A diferencia de otras divulgaciones, Google ha optado por mantener en
secreto la información sobre el identificador CVE, el componente afectado y la
naturaleza del fallo.
Sin embargo, una
confirmación de GitHub
para el ID de error de Chromium ha revelado que el problema reside en la
biblioteca de código abierto Almost Native Graphics Layer Engine (ANGLE) de
Google. El mensaje de confirmación indica:
«Metal: No usar pixelsDepthPitch para ajustar el tamaño de los búferes».
Esto indica que es probable que el problema se deba a una vulnerabilidad de
desbordamiento de búfer en el renderizador Metal de ANGLE, provocada por un
tamaño de búfer incorrecto, lo que podría provocar corrupción de memoria,
fallos del programa o ejecución de código arbitrario.
«Google tiene conocimiento de la existencia de un exploit para
466192044»,
señaló la compañía, añadiendo que se están coordinando más detalles.
Naturalmente, el gigante tecnológico no ha revelado detalles sobre la
identidad del atacante responsable de los ataques, quién podría haber sido el
objetivo, ni la magnitud de dichos esfuerzos. Esto se hace normalmente para
garantizar que la mayoría de los usuarios hayan aplicado las correcciones y
evitar que otros atacantes apliquen ingeniería inversa al parche y desarrollen
sus propios exploits.
Con la última actualización,
Google ha abordado
ocho vulnerabilidades de día cero en Chrome
que se han explotado activamente o se han demostrado como prueba de concepto
(PoC) desde principios de año. La lista incluye CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558,
CVE-2025-10585 y CVE-2025-13223.
Google también ha abordado otras dos vulnerabilidades de gravedad media:
-
CVE-2025-14372 – Uso posterior a la liberación en el Administrador de
Contraseñas - CVE-2025-14373 – Implementación incorrecta en la Barra de Herramientas
Estos errores fueron detectados utilizando herramientas como
AddressSanitizer,
MemorySanitizer,
UndefinedBehaviorSanitizer,
Control Flow Integrity,
libFuzzer, o AFL.
También se recomienda a los usuarios de otros navegadores basados en Chromium,
como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a
medida que estén disponibles.
Fuente:
THN