Ciberseguridad 360 | Google publica actualización de Chrome para mitigar exploit activo

Google lanz� el martes correcciones para seis problemas de seguridad en su navegador web Chrome, incluido uno que, seg�n la empresa, ha sido explotado en el mundo real.

La vulnerabilidad de alta gravedad en cuesti�n es CVE-2025-6558 (puntuaci�n CVSS: 8,8), que se ha descrito como una validaci�n incorrecta de entradas no fiables en los componentes ANGLE y GPU del navegador.

"La validaci�n insuficiente de entradas no fiables en ANGLE y GPU en Google Chrome anterior a la versi�n 138.0.7204.157 permit�a a un atacante remoto escapar potencialmente del entorno aislado (sandbox) a trav�s de una p�gina HTML dise�ada espec�ficamente", seg�n la descripci�n del fallo de la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.

ANGLE, abreviatura de "Almost Native Graphics Layer Engine", act�a como una capa de traducci�n entre el motor de renderizado de Chrome y los controladores gr�ficos espec�ficos del dispositivo. Las vulnerabilidades del m�dulo pueden permitir a los atacantes escapar del sandbox de Chrome abusando de operaciones de GPU de bajo nivel que los navegadores suelen mantener aisladas, lo que lo convierte en una v�a poco frecuente pero potente para acceder a niveles m�s profundos del sistema.

Para la mayor�a de los usuarios, un escape de sandbox como este significa que basta con visitar un sitio malicioso para romper potencialmente la burbuja de seguridad del navegador e interactuar con el sistema subyacente. Esto es especialmente cr�tico en ataques dirigidos, en los que el simple hecho de abrir una p�gina web podr�a desencadenar un compromiso silencioso sin necesidad de descargar nada ni hacer clic.

Cl�ment Lecigne y Vlad Stolyarov, del Grupo de An�lisis de Amenazas (TAG) de Google, han sido reconocidos por descubrir y notificar la vulnerabilidad zero-day el 23 de junio de 2025.

No se ha revelado la naturaleza exacta de los ataques que aprovechan la vulnerabilidad, pero Google ha reconocido que "existe un exploit para CVE-2025-6558 en circulaci�n". Dicho esto, el descubrimiento del TAG alude a la posibilidad de la participaci�n de un Estado-naci�n.

Esta novedad se produce unas dos semanas despu�s de que Google abordara otra vulnerabilidad zero-day de Chrome que se explotaba activamente (CVE-2025-6554, puntuaci�n CVSS: 8,1), que tambi�n fue reportada por Lecigne el 25 de junio de 2025.

Google ha resuelto un total de cinco vulnerabilidades zero-days en Chrome que han sido explotadas activamente o demostradas como prueba de concepto (PoC) desde principios de a�o. Entre ellas se incluyen: CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 y CVE-2025-6554.

Para protegerse contra posibles amenazas, se recomienda actualizar el navegador Chrome a las versiones 138.0.7204.157/.158 para Windows y Apple macOS, y 138.0.7204.157 para Linux. Para asegurarse de que est�n instaladas las �ltimas actualizaciones, los usuarios pueden ir a M�s > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.

Se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones tan pronto como est�n disponibles.

Problemas como este suelen entrar en categor�as m�s amplias, como fugas de sandbox de GPU, errores relacionados con sombreadores o vulnerabilidades de WebGL. Aunque no siempre acaparan los titulares, tienden a resurgir en exploits encadenados o ataques dirigidos. Si sigues las actualizaciones de seguridad de Chrome, vale la pena estar atento a los fallos de los controladores gr�ficos, las elusiones de l�mites de privilegios y la corrupci�n de memoria en las rutas de renderizado, ya que a menudo apuntan a la siguiente ronda de errores que merecen un parche.

Fuente: thehackernews