Google ha publicado actualizaciones de seguridad para chocar una vulnerabilidad en su navegador Chrome para la cual existe un exploit en la naturaleza.
La vulnerabilidad del día cero, rastreada como CVE-2025-6554 (puntaje CVSS: N/A), se ha descrito como un defecto de tipo confuso en el motor V8 JavaScript y WebAssembly.
«Escriba la confusión en V8 en Google Chrome antaño de 138.0.7204.96 permitió a un atacante remoto realizar recital/escritura arbitrarias a través de una página HTML diseñada», según una descripción del error en la saco de datos de vulnerabilidad franquista de la NIST (NVD).
Los tipos de vulnerabilidades de confusión pueden tener consecuencias severas, ya que pueden explotarse para desencadenar un comportamiento inesperado del software, lo que resulta en la ejecución de bloqueos arbitrarios y bloqueos del software.
Los errores de día cero como este son especialmente riesgosos porque los atacantes a menudo comienzan a usarlos antaño de que esté arreglado una alternativa. En los ataques del mundo positivo, estos defectos pueden permitir a los piratas informáticos instalar spyware, editar descargas de transmisión o ejecutar un código dañino en silencio, a veces solo por hacer que alguno broa un sitio web sagaz.
Clément Lecigne del Clase de Prospección de Amenazas (TAG) de Google ha sido acreditado por descubrir e informar el defecto el 25 de junio de 2025, lo que indica que puede favor sido armado en ataques mucho específicos, posiblemente involucrando actores de estado nación o operaciones de vigilancia. La marbete típicamente detecta e investiga amenazas serias como ataques respaldados por el gobierno.
El cíclope tecnológico además señaló que el problema fue mitigado al día subsiguiente mediante un cambio de configuración que se empujó al canal estable en todas las plataformas. Para los usuarios cotidianos, eso significa que la amenaza puede no estar muy extendida todavía, pero aún es urgente parchar, especialmente si se encuentra en roles que manejan datos confidenciales o de stop valía.
Google no ha publicado ningún detalle adicional sobre la vulnerabilidad y quién la ha explotado, sino que reconoció que «una exploit para CVE-2025-6554 existe en la naturaleza».
CVE-2025-6554 es la cuarta vulnerabilidad de día cero en Chrome que va a chocar desde el aparición del año posterior a CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419. Sin secuestro, es importante señalar que no hay claridad sobre si CVE-2025-4664 ha sido abusado en un contexto sagaz.
Para custodiar contra posibles amenazas, se recomienda modernizar su navegador Chrome a las versiones 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para MacOS y 138.0.7204.96 para Linux.
Si no está seguro de si su navegador está actualizado, vaya a Configuración> Ayuda> Acerca de Google Chrome: debe activar la última puesta al día automáticamente. Para las empresas y los equipos de TI que administran múltiples puntos finales, habilitar la encargo cibernética de parches y el cumplimiento de la traducción del navegador de monitoreo es fundamental.
Además se recomienda a los usuarios de otros navegadores basados en el cromo como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las soluciones cuando estén disponibles.
