28 de Mayo de 2025 14:40Hrs

Google corrige grave vulnerabilidad en Chrome que ya está siendo explotada

Google ha lanzado un parche de emergencia para abordar una vulnerabilidad crítica en Chrome, catalogada como CVE-2025-4664.

Google ha emitido una actualización urgente para corregir una grave falla de seguridad en su navegador Chrome, identificada como CVE-2025-4664. Esta vulnerabilidad ya está siendo utilizada por atacantes, según confirmó la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), al incorporarla en su lista oficial de vulnerabilidades explotadas activamente (KEV).

Esta vulnerabilidad radica en una aplicación inadecuada de las políticas de seguridad en el componente Loader de Chrome, lo cual permite el filtrado no autorizado de datos entre orígenes. Esta debilidad puede ser aprovechada por actores maliciosos para realizar exfiltración de datos sensibles y, potencialmente, secuestrar sesiones de usuario o cuentas, particularmente en contextos como autenticaciones OAuth.

La vulnerabilidad puede ser aprovechada mediante una página HTML especialmente diseñada, y afecta a todas las versiones de Chrome anteriores a la v136.0.7103.113/.114, en Windows, macOS y Linux.

Aunque Google inicialmente no confirmó que la vulnerabilidad estuviera siendo explotada, la inclusión en el catálogo KEV por parte de CISA valida que ya se está utilizando en campañas maliciosas. El vector de ataque se basa en la manipulación de las cabeceras «Link" y «referrer-policy", que puede forzar el envío de parámetros sensibles —como tokens de acceso— hacia sitios controlados por atacantes. Para que el ataque tenga éxito, es necesaria la interacción del usuario, como acceder a una página maliciosa, algo que puede lograrse fácilmente mediante técnicas de ingeniería social.

Medidas de mitigación y recomendaciones

Google ha distribuido parches de seguridad en las versiones Chrome 136.0.7103.113 (Windows/Linux) y 136.0.7103.114 (macOS). Aunque no se han reportado explotaciones activas, la existencia de un exploit público aumenta significativamente el riesgo para sistemas no actualizados. Los usuarios deben verificar su versión actual accediendo a Configuración > Acerca de Chrome.

La directiva de CISA obliga a las agencias federales de EE. UU. a aplicar correcciones antes del 5 de julio de 2025. No obstante, todas las organizaciones y usuarios particulares deberían asegurarse de contar con la última versión de Chrome.

Para garantizar la protección contra esta y futuras vulnerabilidades, se recomienda encarecidamente mantener el navegador actualizado y habilitar las actualizaciones automáticas. Los administradores de sistemas deben revisar sus implementaciones de OAuth y asegurarse de que sus aplicaciones web implementen políticas de seguridad adecuadas para prevenir la exfiltración de datos sensibles a través de recursos externos. La actualización inmediata del navegador es crucial para mantener la integridad de las cuentas de usuario y prevenir posibles compromisos de seguridad.

Quienes actualizan manualmente deben reiniciar el navegador tras instalar la nueva versión. En sistemas con actualizaciones automáticas, el parche ya debería haberse aplicado. Microsoft Edge, basado también en Chromium, ya ha corregido el fallo, y se espera que navegadores como Opera y Brave lo hagan en sus próximas actualizaciones.

Fuentes:

Regresar
Scroll al inicio