Google ha lanzado una actualización de seguridad para Chrome para abordar una vulnerabilidad de día cero (CVE-2025-6554) que su Grupo de Análisis de Amenazas (TAG) descubrió e informó la semana pasada.
“Google tiene conocimiento de que existe un exploit para CVE-2025-6554 circulando”, afirmó la compañía .
Acerca de CVE-2025-6554
CVE-2025-6554 es una vulnerabilidad de confusión de tipos en V8, el motor de JavaScript y WebAssembly en el corazón de los navegadores basados en Chrome y Chromium.
Atacantes remotos no autenticados pueden explotar esta vulnerabilidad enviando páginas HTML manipuladas a sus objetivos. Estas páginas pueden activar la vulnerabilidad y permitirles ejecutar operaciones de lectura y escritura arbitrarias. En algunos casos, esto podría provocar la ejecución completa de código remoto.
Como de costumbre, Google ha ocultado los detalles del exploit a la espera de una amplia implementación de la solución. Sin embargo, dado que la vulnerabilidad fue descubierta por Clément Lecigne, del Grupo de Acción Técnica (TAG) de Google, es probable que se esté aprovechando en ataques extremadamente selectivos y, probablemente, patrocinados por estados.
Por ejemplo, una falla de día cero V8 parchada en agosto de 2024 ha sido aprovechada por un actor de amenazas norcoreano para atacar a organizaciones del sector de las criptomonedas.
Actualizar rápidamente
Los investigadores informaron sobre la vulnerabilidad el 25 de junio de 2025. Al día siguiente, Google implementó un cambio de configuración en el canal estable de Chrome en todas las plataformas, como mitigación temporal.
CVE-2025-6554 ya se ha corregido en:
- Chrome v138.0.7204.96/.97 para Windows
- Chrome v138.0.7204.92/.93 para Mac
- Chrome v138.0.7204.96 para Linux
Debido a que la falla se está explotando activamente, se insta a los usuarios a actualizar rápidamente.
Dependiendo de su sistema operativo y de si la actualización automática de Chrome está habilitada, puede aplicar la actualización manualmente o simplemente reiniciar el navegador para implementar la solución.
Todavía se están preparando actualizaciones de seguridad para navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi.
Fuente y redacción: helpnetsecurity.com / Zeljka Zorz