Google ha lanzado una actualización de seguridad para abordar una vulnerabilidad en el navegador Chrome que tiene hazañas en la naturaleza.
La vulnerabilidad del día cero rastreada como CVE-2025-6554 (puntaje CVSS: N/A) se describe como un defecto confuso en el tipo de motor V8 JavaScript y WebAssembly.
«La confusión en el tipo V8 de Google Chrome antes de 138.0.0.7204.96 significaba que la descripción de la base de datos de Ulnerabilidad Nacional de NIST (NVD)» Un atacante remoto podría realizar lecturas/escrituras arbitrarias a través de la página HTML creada «.
Las vulnerabilidades de confusión de tipo pueden tener graves consecuencias, ya que pueden explotarse para desencadenar un comportamiento inesperado del software, lo que resulta en un código arbitrario y bloqueos del programa.
Tales errores de día cero son particularmente peligrosos ya que los atacantes a menudo comienzan a usarlos antes de que la solución esté disponible. En ataques reales, estos defectos permiten a los piratas informáticos instalar spyware, iniciar descargas de transmisión y ejecutar en silencio un código dañino.
Se reconoce que Clément Lecigne, el grupo de análisis de amenazas de Google (TAG), había descubierto e informado el defecto el 25 de junio de 2025, lo que indica que puede haber sido armado en un ataque altamente dirigido. Las etiquetas generalmente detectan e investigan amenazas graves, como los ataques respaldados por el gobierno.
Tech Giant también señaló que este problema se alivió al día siguiente por los cambios de configuración empujados a canales estables en todas las plataformas. Para los usuarios cotidianos, eso significa que la amenaza aún no se está extendiendo, pero aplicar un parche sigue siendo urgente, especialmente si está en el papel de procesar datos confidenciales o valiosos.
Google no ha publicado ningún detalle adicional sobre la vulnerabilidad y las vulnerabilidades que pueden haberlo explotado, pero ha admitido que «la explotación de CVE-2025-6554 existe en la naturaleza».
CVE-2025-6554 es una vulnerabilidad de día cero en el cuarto día en Chrome, como Google trata desde el comienzo del año después de CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419. Sin embargo, observamos que no está claro si CVE-2025-4664 está abusado en un contexto malicioso.
Para proteger contra las posibles amenazas, recomendamos actualizar al navegador Chrome 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS y 138.0.7204.92/.93 para Linux.
Si no está seguro de si su navegador está actualizado, vaya a Configuración> Ayuda> Acerca de Google Chrome. Las últimas actualizaciones deben activarse automáticamente. Para las empresas y los equipos de TI que administran múltiples puntos finales, es importante permitir la gestión de parches automatizado y el cumplimiento de la versión del navegador de monitoreo.
También se recomienda que los usuarios de otros navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi también apliquen la solución cuando esté disponible.
Source link
