Google ha publicado una actualización de seguridad para Chrome que soluciona media docena de vulnerabilidades, una de las cuales es explotada activamente por atacantes para evadir la protección sandbox del navegador.
La vulnerabilidad identificada como CVE-2025-6558 (gravedad alta con CVSS 8.8) fue descubierta por investigadores del Grupo de Análisis de Amenazas (TAG) de Google el 23 de junio.
El problema de seguridad se describe como una validación insuficiente de entradas no confiables en ANGLE y la GPU, que afecta a las versiones de Google Chrome anteriores a la 138.0.7204.157. Un atacante que lo explote con éxito podría escapar de la sandbox utilizando una página HTML especialmente diseñada.
ANGLE (Almost Native Graphics Layer Engine) es una capa de abstracción gráfica de código abierto que Chrome utiliza para traducir las llamadas a la API de OpenGL ES a Direct3D, Metal, Vulkan y OpenGL.
Dado que ANGLE procesa comandos de GPU de fuentes no confiables, como sitios web que utilizan WebGL, los errores en este componente pueden tener un impacto crítico en la seguridad. La vulnerabilidad permite a un atacante remoto, mediante una página HTML especialmente diseñada, ejecutar código arbitrario dentro del proceso de la GPU del navegador. Google no ha proporcionado detalles técnicos sobre cómo la activación del problema podría permitir escapar del entorno de pruebas del navegador.
«El acceso a los detalles del error y a los enlaces podría mantenerse restringido hasta que la mayoría de los usuarios reciban una actualización con una solución», afirma Google en el boletín de seguridad. «También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos, pero que aún no han sido corregidos».
El componente de entorno de pruebas de Chrome es un mecanismo de seguridad fundamental que aísla los procesos del navegador del sistema operativo subyacente, impidiendo así que el malware se propague fuera del navegador web y comprometa el dispositivo.
Dado el alto riesgo y el estado de explotación activa de CVE-2025-6558, se recomienda a los usuarios de Chrome que actualicen a la versión 138.0.7204.157/.158 lo antes posible, según su sistema operativo.
La actualización de seguridad actual de Chrome corrige cinco vulnerabilidades más, incluyendo una falla de alta gravedad en el motor V8, identificada como CVE-2025-7656, y un problema de uso después de la liberación en WebRTC, identificado como CVE-2025-7657. Ninguna de estas cinco vulnerabilidades se identificó como explotada activamente.
CVE-2025-6558 es la quinta vulnerabilidad explotada activamente descubierta y corregida en el navegador Chrome desde principios de año.
En marzo, Google corrigió una falla de escape de sandbox de alta gravedad, CVE-2025-2783, descubierta por investigadores de Kaspersky. Esta vulnerabilidad se había explotado en ataques de espionaje dirigidos contra agencias gubernamentales y medios de comunicación rusos, distribuyendo malware.
Dos meses después, en mayo, Google publicó otra actualización para corregir CVE-2025-4664, una vulnerabilidad de día cero en Chrome que permitía a los atacantes secuestrar cuentas de usuario.
En junio, la compañía abordó otro problema grave, CVE-2025-5419, una vulnerabilidad de lectura/escritura fuera de límites en el motor JavaScript V8 de Chrome, reportada por Benoît Sevens y Clément Lecigne de Google TAG.
A principios de este mes, Google corrigió la cuarta vulnerabilidad de día cero en Chrome, CVE-2025-6554, también en el motor V8, descubierta por investigadores de GTAG.
Fuente y redacción: segu-info.com.ar
