Vulnerabilidades críticas en Chrome 2025
Vulnerabilidad - 20 de mayo
Introducción
La vulnerabilidad CVE-2025-4664 es una falla crítica de tipo use-after-free en Google Chrome, identificada como un zero-day que ya está siendo explotada activamente y que permite a atacantes remotos ejecutar código arbitrario, lo que podría resultar en el secuestro del dispositivo afectado.
Aunque no cumple con los requisitos de selección habituales, el equipo del LAB52 notifica esta vulnerabilidad debido a su criticidad, en la misma línea que varios analistas de inteligencia, porque está orientada a la nube y puede afectar a la autenticación basada en tokens.
Análisis
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N - 4.3
CVE-2025-4664 reside en el componente Chrome Loader, encargado de gestionar las solicitudes de recursos, y permite que los atacantes obtengan información sensible, como tokens de autenticación o identificadores de sesión, a través de encabezados Link maliciosos.
Versiones afectadas
- Versiones de Google Chrome anteriores a la 136.0.7103.113 (para Linux)
- Versiones de Google Chrome 136.0.7103.113/.114 (para Windows y macOS)
Recomendaciones
- Actualizar Google Chrome inmediatamente a la última versión disponible
- Implementar soluciones de seguridad perimetral que detecten actividad anómala relacionada con exfiltración de datos
- Supervisar el tráfico saliente para identificar intentos de acceso a recursos maliciosos.
- Revisa la política de contenido (CSP) en las aplicaciones web para limitar cargas de recursos externos
Workarounds
No hay workarounds disponibles para estas vulnerabilidades.