Google lanzó el martes soluciones para seis problemas de seguridad en su navegador web Chrome, incluido uno que dijo que ha sido explotado en la naturaleza.
La vulnerabilidad de ingreso severidad en cuestión es CVE-2025-6558 (Puntuación CVSS: 8.8), que se ha descrito como una potencia incorrecta de la entrada no confiable en el ángulo del navegador y los componentes de GPU.
«La potencia insuficiente de la entrada no confiable en ángulo y GPU en Google Chrome antiguamente de 138.0.7204.157 permitió a un atacante remoto realizar un escape de Sandbox a través de una página HTML diseñada», según la descripción de la defecto de la Database Franquista de Vulnerabilidades de la NIST (NVD).
Ángulo, iniciales de «motor de capa gráfica casi nativa», actúa como una capa de traducción entre el motor de representación de Chrome y los controladores de gráficos específicos del dispositivo. Las vulnerabilidades en el módulo pueden permitir a los
Para la mayoría de los usuarios, un escape de arena como este significa que saludar un sitio malvado es suficiente para salir de la burbuja de seguridad del navegador e interactuar con el sistema subyacente. Esto es especialmente crítico en los ataques específicos donde la tan pronto como abriendo una página web podría desencadenar un compromiso silencioso sin requerir ninguna descarga o clic.
Clément Lecigne y Vlad Stolyarov del Clan de Descomposición de Amenazas (TAG) de Google han sido acreditados por descubrir e informar la vulnerabilidad del día cero el 23 de junio de 2025.
La naturaleza exacta de los ataques con el arsenal de la defecto no se ha revelado, pero Google reconoció que un «exploit para CVE-2025-6558 existe en la naturaleza». Dicho esto, el descubrimiento de la formalidad alude a la posibilidad de la décimo del estado-nación.
El mejora se produce aproximadamente dos semanas posteriormente de que Google abordó otro día cero de Chrome (CVE-2025-6554, puntaje CVSS: 8.1), que incluso informó por Lecigne el 25 de junio de 2025.
Google ha resuelto un total de cinco vulnerabilidades de día cero en Chrome que han sido explotadas activamente o demostradas como una prueba de concepto (POC) desde el eclosión del año. Esto incluye: CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 y CVE-2025-6554.
Para preservar contra posibles amenazas, se recomienda renovar su navegador Chrome a las versiones 138.0.7204.157/.158 para Windows y Apple MacOS, y 138.0.7204.157 para Linux. Para cerciorarse de que se instalen las últimas actualizaciones, los usuarios pueden navegar a más> Ayuda> sobre Google Chrome y optar relanzamiento.
Asimismo se recomienda a los usuarios de otros navegadores basados en el cromo como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las soluciones cuando estén disponibles.
Los problemas como esta a menudo se encuentran en categorías más amplias como escapes de Sandbox GPU, errores relacionados con el sombreador o vulnerabilidades de WebGL. Si proporcionadamente no siempre se aceleran en el titular, tienden a resurgir en hazañas encadenadas o ataques dirigidos. Si sigue las actualizaciones de seguridad de Chrome, vale la pena estar atentos a las fallas del compensador de gráficos, los derivaciones de límites de privilegio y la corrupción de la memoria en las rutas de representación, ya que a menudo apuntan a la futuro ronda de errores dignos de parche.
