Google ha publicado actualizaciones de seguridad para abordar una
vulnerabilidad en su navegador Chrome para la cual existe un exploit en la
naturaleza.
La vulnerabilidad Zero-Day, rastreada como CVE-2025-6554, se ha descrito como
un defecto confusión de tipo en el motor V8 JavaScript y WebAssembly.
«Este error en V8 en Google Chrome anteriores a 138.0.7204.96 permitiría a
un atacante remoto realizar lectura/escritura arbitrarias a través de una
página HTML especialmente diseñada», señala la descripción del error en NIST (NVD).
Los tipos de vulnerabilidades de confusión pueden tener
consecuencias severas, ya que pueden explotarse para desencadenar un comportamiento inesperado del
software, lo que resulta en la ejecución de bloqueos arbitrarios y bloqueos
del programa.
Los errores Zero-Day como este son especialmente riesgosos porque los
atacantes a menudo comienzan a usarlos antes de que esté disponible una
solución. En los ataques del mundo real, estos defectos pueden permitir a los
atacantes instalar spyware, lanzar descargas de transmisión o ejecutar un
código dañino en silencio, a veces solo por hacer que alguien abra un sitio
web malicioso.
Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google ha sido
acreditado por descubrir e informar el defecto el 25 de junio de 2025, lo que
indica que puede haber sido armado en ataques altamente específicos,
posiblemente involucrando actores de estado nación o operaciones de
vigilancia. La etiqueta típicamente detecta e investiga amenazas serias como
ataques respaldados por el gobierno.
El gigante tecnológico también señaló que el problema fue mitigado al día
siguiente mediante un cambio de configuración que se empujó al canal estable
en todas las plataformas. Para los usuarios cotidianos, eso significa que la
amenaza puede no estar muy extendida todavía, pero aún es urgente parchear,
especialmente si se encuentra en roles que manejan datos confidenciales o de
alto valor.
Google no ha publicado ningún detalle adicional sobre la vulnerabilidad y
quién la ha explotado, sino que
reconoció
que «un exploit para CVE-2025-6554 existe en la naturaleza».
CVE-2025-6554 es la cuarta vulnerabilidad Zero-Day en Chrome que va a abordar
desde el comienzo del año posterior a CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419. Sin embargo, es importante señalar que no hay claridad sobre si
CVE-2025-4664 ha sido abusado en un contexto malicioso.
Se recomienda actualizar su navegador Chrome a las versiones
138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para MacOS y 138.0.7204.96
para Linux.
También se recomienda a los usuarios de otros navegadores basados en el
cromo como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las soluciones
cuando estén disponibles.
Fuente:
THN