Es noticia
NvidiaBlack Mirror 7XRPCardanoXiaomiAppleAMD

Google lanza parches de emergencia para vulnerabilidad crítica en Chrome con exploit público

TecnologíaGoogle

Google lanza parches de emergencia para vulnerabilidad crítica en Chrome con exploit público

Google lanza actualizaciones urgentes para corregir una vulnerabilidad crítica en Chrome, que podría permitir la toma total de cuentas tras una explotación activa.

Redacción Kippel01
Publicado: 15-05-2025 08:51
Descripción

Google ha lanzado actualizaciones de emergencia para corregir una vulnerabilidad de alta gravedad en el navegador Chrome que podría permitir la toma completa de cuentas tras una explotación exitosa. Aunque no se confirma si esta falla ha sido utilizada en ataques, la compañía advirtió que existe un exploit público, un indicio habitual de explotación activa.

La vulnerabilidad, identificada como CVE-2025-4664, fue descubierta por el investigador de seguridad Vsevolod Kokorin y se describe como una protección insuficiente en el componente Loader de Chrome, que permite a atacantes remotos filtrar datos cross-origin mediante cabeceras Link manipuladas maliciosamente en páginas HTML. Este problema se agrava porque, a diferencia de otros navegadores, Chrome resuelve las cabeceras Link en solicitudes de subrecursos y permite establecer políticas de referencia inseguras, como unsafe-url, lo que puede capturar parámetros sensibles, incluidos datos de OAuth. Esto podría facilitar la toma completa de las cuentas afectadas.

Google corrigió de inmediato esta vulnerabilidad para los usuarios del canal Stable en escritorios, lanzando versiones parcheadas (136.0.7103.113 para Windows y Linux y 136.0.7103.114 para macOS), que ya están disponibles globalmente. Aunque la actualización se distribuirá en los próximos días y semanas, quienes deseen actualizar manualmente pueden configurar el navegador para que busque e instale automáticamente las nuevas versiones en el próximo inicio.

Este parche llega tras la resolución en marzo de otra vulnerabilidad crítica, CVE-2025-2783, utilizada en campañas de espionaje dirigidas a organizaciones rusas, medios de comunicación e instituciones educativas. En ese caso, investigadores de Kaspersky reportaron que los atacantes emplearon exploits para evadir las protecciones sandbox de Chrome e instalar malware en los sistemas afectados.

En un año que ha visto la corrección de al menos 10 vulnerabilidades zero-day divulgadas en eventos de hacking o ataques activos, estas actualizaciones refuerzan la necesidad de mantener los navegadores actualizados y estar atentos a las alertas de seguridad. La continua evolución de las amenazas subraya la importancia de una protección constante para la ciudadanía y las organizaciones.