Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Solución de emergencia de Google Chrome para un error crítico que provoca el escape de la zona protegida

Redazione RHC : 17 julio 2025 12:31

Google ha lanzado una actualización de emergencia para el navegador Chrome, que elimina simultáneamente seis vulnerabilidades, una de las cuales ya se explota activamente en ataques reales. El problema afecta a componentes críticos asociados con el motor gráfico del navegador y puede provocar la salida del entorno de pruebas, un mecanismo de protección que aísla los procesos de Chrome del resto del sistema.

La vulnerabilidad más grave abordada fue CVE-2025-6558, con una puntuación CVSS de 8,8. Esto afecta a Manejo incorrecto de datos no confiables en componentes ANGLE y GPU. ANGLE, o Motor de Capa Gráfica Casi Nativo, actúa como una capa entre el navegador y los controladores de hardware gráfico. A través de esto, una página web maliciosa puede iniciar un escape de entorno aislado e interactuar con el resto del sistema a un nivel inferior.

Este método es particularmente peligroso en ataques dirigidos: basta con abrir una página para recibir una infección indetectable, sin necesidad de hacer clic ni descargar ningún archivo. Los desarrolladores de Google han señalado que el exploit para esta vulnerabilidad ya se está utilizando en ataques reales, aunque no se han revelado los detalles ni los objetivos específicos. El descubrimiento del problema se atribuye a los especialistas del Grupo de Análisis de Amenazas, Clement Lesin y Vlad Stolyarov, quienes informaron sobre la vulnerabilidad el 23 de junio de 2025.

El hecho de que la vulnerabilidad se esté explotando en ataques reales y haya sido descubierta por un equipo de expertos en amenazas de estados nacionales indica la posible participación de ciberdelincuentes a nivel nacional. La actualización de Chrome corrige otras cinco vulnerabilidades, incluida CVE-2025-6554, también descubierta por Lesin el 25 de junio. Esta es la quinta vez este año que Google corrige vulnerabilidades de prueba de concepto explotadas activamente. La lista también incluye CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419.

Para proteger a los usuarios, recomendamos actualizar Chrome a la versión 138.0.7204.157 o 138.0.7204.158 para Windows y macOS, y a la 138.0.7204.157 para Linux. La última versión se puede instalar a través de la sección «Acerca de» en la configuración. Los usuarios de navegadores basados en Chromium, como Edge, Brave, Opera y Vivaldi, también deben estar atentos a las actualizaciones.

Las vulnerabilidades relacionadas con los componentes gráficos y los mecanismos de aislamiento de procesos no siempre son noticia, pero a menudo se explotan en cadenas de ataques. Cabe destacar la omisión de límites de privilegios, los errores de GPU y WebGL, y la corrupción de memoria durante el renderizado: estas áreas suelen convertirse en la base de vulnerabilidades críticas posteriores.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡HTTP/1.1 debe desaparecer! Vulnerabilidades críticas ponen en riesgo millones de sitios web.
Di Redazione RHC - 08/08/2025

Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...

Una nueva técnica de escalada de privilegios (PE) permite omitir el UAC en Windows
Di Redazione RHC - 08/08/2025

Un descubrimiento reciente ha revelado una sofisticada técnica que elude el Control de Cuentas de Usuario (UAC) de Windows, lo que permite la escalada de privilegios sin la intervención del ...

Pánico por la IA: estamos entrando en la fase más peligrosa de la revolución digital
Di Redazione RHC - 08/08/2025

En los últimos meses, el debate sobre la inteligencia artificial ha adquirido tintes cada vez más extremos. Por un lado, las grandes empresas que desarrollan y venden soluciones de IA est&#x...

¿Qué son los sitios de filtración de datos de bandas de ransomware?
Di Redazione RHC - 07/08/2025

Los sitios de filtración de datos (DLS) de bandas de ransomware representan una amenaza cada vez más extendida para las empresas y las personas que utilizan Internet. Estos sitios fueron cre...

Descubriendo la Deep Web y la Dark Web: La guía definitiva
Di Antonio Piovesan - 07/08/2025

Desde hace algunos años se habla mucho sobre la deep web y la dark web, y muchos se preguntan: ¿pero qué significa esto exactamente? La dark web a menudo se asocia con actividades sospe...