Ir al contenido

Actualiza Chrome YA: Google parchea el zero-day CVE-2025-6554

Un fallo “type confusion” en V8 que ya está siendo explotado pone en riesgo a todos los usuarios de navegadores basados en Chromium.

Un fallo “type confusion” en V8 que ya está siendo explotado pone en riesgo a todos los usuarios de navegadores basados en Chromium

¿Qué ocurrió y por qué importa?

Google confirmó que el 1 de julio liberó un parche de emergencia para la vulnerabilidad CVE-2025-6554, un zero-dayque ya estaba siendo aprovechado por atacantes antes de divulgarse públicamente. El fallo, catalogado como High(alto) en severidad, permite lectura y escritura arbitrarias en memoria y podría derivar en ejecución remota de código. (bleepingcomputer.comnvd.nist.gov)

Origen de la vulnerabilidad

El error reside en V8, el motor JavaScript y WebAssembly de Chrome. Se trata de una “ type confusion ” descubierta el 25 de junio por Clément Lecigne del Google Threat Analysis Group, el mismo equipo que suele rastrear ataques patrocinados por Estados-nación. (chromereleases.googleblog.com)

Versiones afectadas y navegadores impactados

Cualquier versión anterior a 138.0.7204.96/97 en Windows, macOS y Linux es vulnerable. Como Edge, Brave, Opera y Vivaldi comparten la base Chromium, también deben actualizarse tan pronto como sus proveedores publiquen builds corregidos. (chromereleases.googleblog.comtechrepublic.com)

Cómo explotan el fallo los atacantes

Investigadores señalan campañas que envían páginas HTML especialmente manipuladas; al cargar el sitio, el código malicioso desencadena la confusión de tipos y obtiene acceso a la memoria del proceso de renderizado. Desde ahí se encadenan técnicas sandbox escape para tomar control total del sistema. (thehackernews.comsocradar.io)

Pasos inmediatos para usuarios finales

  1. Actualiza Chrome manualmente: Menú ⋮ → Ayuda → Información de Google Chrome → reinicia cuando termine la descarga.
  2. Revisa extensiones y elimina las que no reconozcas.
  3. Aplica parches del sistema operativo: atacantes suelen combinar múltiples vulnerabilidades.

Recomendaciones para empresas y administradores

  • Inventario rápido: identifica versiones de Chrome y navegadores basados en Chromium en todos los endpoints.
  • Despliegue forzado: utiliza GPO, Intune o tu MDM para empujar 138.0.7204.97 en Windows y 138.0.7204.96 en macOS/Linux.
  • Monitor de IoC: registra conexiones salientes a dominios recién creados que carguen JavaScript ofuscado.
  • Segmentación de red y principio de menor privilegio para mitigar movimientos laterales. (threatprotect.qualys.com)

Contexto: el cuarto zero-day de Chrome en 2025

Con este parche, Chrome acumula cuatro vulnerabilidades explotadas activamente en lo que va del año, un record histórico para el proyecto. La tendencia subraya la necesidad de ciclos de actualización más cortos y políticas de patch management automatizadas. (bleepingcomputer.com)

Protege tu sitio y tu reputación

¿Tu empresa depende de aplicaciones web críticas? En www.sitesupremacy.com combinamos diseño web seguro, SEO técnico y monitoreo continuo para que tus clientes nunca vean un mensaje de “sitio comprometido”. 

Agenda hoy una auditoría gratuita y descubre cómo blindar tu presencia digital antes de que el próximo zero-day lo haga por ti.

¡Empieza hoy!

José Mario Rivera Carranza 3 de julio de 2025
Compartir
Archivar
Ransomware en sistemas industriales: aumento del 46 % en el primer trimestre de 2025
La escalada del malware operacional pone en jaque a manufactura, energía y salud, exigiendo protocolos de ciberseguridad más estrictos