Google lanzó una actualización de seguridad de emergencia para Chrome el lunes para abordar una vulnerabilidad explotada activamente de Zeroday que afectaba a los usuarios de Windows y Mac en todo el mundo. Este es el cuarto día cero cromo fijo desde principios de 2025.
La vulnerabilidad del día cero, rastreada como CVE-2025-6554, ha sido descrita como una vulnerabilidad de errores de «tipo confusión» de alta severidad en el motor V8 JavaScript y WebAssembly de Chrome.
Clement Lecigne, un investigador de seguridad del Grupo de Análisis de Amenazas de Google (TAG), quien marcó la vulnerabilidad del día cero el 25 de junio de 2025, ha sido acreditado por descubrirlo e informarla. TAG es conocida por descubrir ataques sofisticados vinculados a los actores del estado-nación.
¿Cuál es la vulnerabilidad?
Escriba fallas de confusión en V8, el motor JavaScript de Chrome, ocurren cuando el navegador se confunde sobre el tipo de datos que maneja. Puede hacer que Chrome malinterprete la memoria, abriendo la puerta a lectura/escritura arbitraria y, en algunos casos, la ejecución completa del código remoto (RCE).
Este error puede permitir a los piratas informáticos acceder a partes de la memoria que no deberían, lo que puede permitirles ejecutar un código dañino o bloquear el navegador.
«Google es consciente de que existe una exploit para CVE-2025-6554 en la naturaleza», dijo el gigante tecnológico en un aviso de seguridad emitido el lunes.
Según la base de datos de vulnerabilidad nacional (NVD), esta falla afecta las versiones de Chrome antes de 138.0.7204.96 y puede permitir a los atacantes ejecutar código malicioso o hacer que la aplicación se bloquee.
Medidas de mitigación
Google desplegó un temporal Mitigación en el lado del servidor el 26 de junio de 2025, a través del canal estable de Chrome para corregir la vulnerabilidad del día cero. La compañía ha lanzado un parche completo para los usuarios de Chrome en el canal de escritorio estable: Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) y usuarios de Linux (138.0.7204.96).
«El acceso a los detalles y los enlaces del error puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También retendremos restricciones si el error existe en una biblioteca de terceros de los que otros proyectos dependen de manera similar, pero que aún no se han solucionado», dijo Google.
Google aún no ha revelado detalles sobre la explotación o los actores de amenaza detrás de los ataques. Dado que la falla se está explotando activamente en la naturaleza, se recomienda encarecidamente que los usuarios apliquen el parche de seguridad lo antes posible para proteger sus dispositivos y a sí mismos de riesgos de seguridad significativos.
Si bien la actualización automática de Chrome eventualmente instalará la solución, también puede actualizar manualmente Chrome yendo a Configuración> Ayuda> sobre Google Chrome.
¿Por qué es este el cuarto?
Los días cero cero previamente parcheados en Chrome durante 2025 incluyen CVE20252783 (Marzo): Mango incorrecto proporcionado en circunstancias no especificadas en Mojo en Windows; CVE20254664 (Mayo): Insuficiente aplicación de políticas en el cargador; y CVE20255419 (Junio): fuera de los límites, lea y escriba en V8.
Con CVE20256554 ahora parcheado, esto marca el cuarto exploit activo de día cero abordado en solo siete meses.
Read more: Chrome Restringe Inicios a Nivel Administrador para Reforzar la Seguridad