Alerta de Seguridad: Google corrige vulnerabilidad crítica en Chrome activamente explotada

Google ha liberado una actualización de seguridad para el navegador Chrome que aborda seis vulnerabilidades, entre ellas una falla crítica que ya está siendo aprovechada por atacantes. El fallo más grave, identificado como CVE-2025-6558, permite eludir el entorno de aislamiento (sandbox) del navegador, una línea de defensa clave frente a amenazas avanzadas.

Esta vulnerabilidad fue descubierta por el equipo Threat Analysis Group (TAG) de Google el pasado 23 de junio y ha sido clasificada con una severidad alta (CVSS 8.8). El error se origina por una validación insuficiente de entradas en ANGLE y GPU, impactando a las versiones previas a Chrome 138.0.7204.157.

¿Qué es ANGLE y por qué importa?
ANGLE (Almost Native Graphics Layer Engine) es una capa que permite a Chrome interpretar gráficos de manera eficiente en diferentes plataformas, como Direct3D o Vulkan. Sin embargo, al procesar comandos gráficos provenientes de sitios web (especialmente vía WebGL), errores como este representan un riesgo significativo: un atacante puede insertar código malicioso dentro del proceso gráfico del navegador y, potencialmente, escapar del entorno de pruebas.

Google ha advertido que los detalles técnicos seguirán restringidos hasta que la mayoría de los usuarios actualicen su navegador, y ha recalcado la importancia de esta medida en casos donde la vulnerabilidad también afecta a bibliotecas de terceros aún sin parches.

La protección sandbox en Chrome es esencial para evitar que código malicioso se propague al sistema operativo y cause daños mayores. Por ello, la recomendación es actualizar a la versión 138.0.7204.157 o superior de inmediato, según el sistema operativo que se utilice.

Además de CVE-2025-6558, la actualización corrige otras cinco vulnerabilidades, como:

CVE-2025-7656: Error de alta severidad en el motor JavaScript V8.
CVE-2025-7657: Falla de tipo use-after-free en WebRTC.

Estas últimas no se han detectado en uso activo, pero representan un riesgo si no se aplican las actualizaciones correspondientes.

Con esta, ya suman cinco las vulnerabilidades día cero activamente explotadas en Chrome solo en 2025, incluyendo:

CVE-2025-2783: usada en campañas de espionaje en marzo.
CVE-2025-4664: permitía secuestro de cuentas en mayo.
CVE-2025-5419 y CVE-2025-6554: vulnerabilidades graves en el motor V8 reportadas por Google TAG

Recomendación Final:

Si eres usuario de Chrome, verifica que tu navegador esté actualizado. Esta es una de las formas más simples y efectivas de proteger tu información y prevenir ataques sofisticados.

Fuente:Segu-Info