Recientemente, Google ha solucionado una grave vulnerabilidad de día cero en su navegador Chrome. Este fallo permitía la evasión del sandbox, lo que podría comprometer la seguridad de los dispositivos. La empresa lanzó un parche para las versiones de Chrome en escritorio y Android, junto con otras correcciones de errores. Los usuarios deben actualizar sus dispositivos a la última versión de Chrome para evitar riesgos de seguridad.
Vulnerabilidad en Google Chrome: Evasión del Sandbox
La vulnerabilidad conocida como CVE-2025-6558 representa una seria amenaza para la seguridad. Esta falla permitía a un atacante evadir la protección que ofrece el sandbox del navegador Chrome.
Según el comunicado de actualización de Chrome, este problema afecta el motor gráfico ANGLE, que es el backend gráfico predeterminado del navegador. Un atacante podía aprovechar esta falla haciendo que el usuario abriera un archivo HTML malicioso. Dado que ANGLE procesa comandos gráficos de fuentes no confiables, un HTML malicioso permitía la evasión de la seguridad del sandbox.
El informe describe el problema de la siguiente manera:
La validación insuficiente de entradas no confiables en ANGLE y GPU en Google Chrome antes de la versión 138.0.7204.157 permitió a un atacante remoto realizar una posible evasión del sandbox a través de una página HTML manipulada.
Google clasificó esta vulnerabilidad como de alta severidad. Investigadores del Grupo de Análisis de Amenazas de Google, Clément Lecigne y Vlad Stolyarov, fueron quienes la detectaron. Reportaron la falla en junio de 2025, y tras ello, la empresa lanzó el parche correspondiente.
Detalles del Parche y la Necesidad de Actualización
Por el momento, Google no ha proporcionado información técnica detallada sobre esta vulnerabilidad. Además, se confirmó que ya existen exploits activos en el entorno, lo que hace crucial mantener la información contenida para prevenir intentos de explotación.
La actualización de Chrome también incluye otras correcciones importantes. En total, se lanzaron seis actualizaciones en esta versión. Sin embargo, Google solo ha divulgado tres de ellas en el anuncio, incluyendo la mencionada CVE-2025-6558.
Otras Vulnerabilidades Resueltas
Las otras dos vulnerabilidades son:
- CVE-2025-7656 (alta severidad): Un desbordamiento de enteros en el componente V8 de Chrome. Un atacante remoto podría explotar esta falla mediante un archivo HTML malicioso. Google recompensó al investigador Shaheen Fazim con $7000 por informar sobre este problema.
- CVE-2025-7657 (alta severidad): Una vulnerabilidad de uso después de liberar en WebRTC de Chrome. Esta falla podría permitir a un atacante remoto explotar la corrupción de memoria a través de un archivo HTML malicioso.
Google implementó estos parches en la versión estable de Chrome 138.0.7204.157 para Windows y Mac, así como en Linux. También lanzó actualizaciones de seguridad para usuarios de Android a través de Chrome 138.
Aunque las actualizaciones llegarán a los sistemas compatibles automáticamente, se recomienda a los usuarios que verifiquen manualmente la disponibilidad de las mismas. Esto garantiza que reciban todas las correcciones de manera oportuna.
Comparte tus opiniones con nosotros en los comentarios.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
