Vulnerabilidades críticas en Chrome 2025

Vulnerabilidad - 20 de mayo

Introducción

La vulnerabilidad CVE-2025-4664 es una falla crítica de tipo use-after-free en Google Chrome, identificada como un zero-day que ya está siendo explotada activamente y que permite a atacantes remotos ejecutar código arbitrario, lo que podría resultar en el secuestro del dispositivo afectado. 

Aunque no cumple con los requisitos de selección habituales, el equipo del LAB52 notifica esta vulnerabilidad debido a su criticidad, en la misma línea que varios analistas de inteligencia, porque está orientada a la nube y puede afectar a la autenticación basada en tokens.

Análisis

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N - 4.3

CVE-2025-4664 reside en el componente Chrome Loader, encargado de gestionar las solicitudes de recursos, y permite que los atacantes obtengan información sensible, como tokens de autenticación o identificadores de sesión, a través de encabezados Link maliciosos.

Versiones afectadas

• Versiones de Google Chrome anteriores a la 136.0.7103.113 (para Linux)
• Versiones de Google Chrome 136.0.7103.113/.114 (para Windows y macOS)

Recomendaciones

• Actualizar Google Chrome inmediatamente a la última versión disponible
• Implementar soluciones de seguridad perimetral que detecten actividad anómala relacionada con exfiltración de datos
• Supervisar el tráfico saliente para identificar intentos de acceso a recursos maliciosos.
• Revisa la política de contenido (CSP) en las aplicaciones web para limitar cargas de recursos externos

Workarounds

No hay workarounds disponibles para estas vulnerabilidades. 

Referencias

• https://x.com/cyb3rops/status/1924708069206065501
• https://www.malwarebytes.com/blog/news/2025/05/update-your-chrome-to-fix-serious-actively-exploited-vulnerability
• https://underc0de.org/foro/noticias-informaticas-120/chrome-cisa-alerta-por-vulnerabilidad-critica-explotada-cve-2025-4664/

Vulnerabilidad Chrome - 3 de junio

Introducción

La vulnerabilidad CVE-2025-5419 es una falla crítica de seguridad que permite a los atacantes remotos ejecutar código arbitrario mediante páginas HTML. Se trata de una falla de lectura y escritura fuera de límites en el motor V8 JavaScript y WebAssembly.

Análisis

CVE-2025-5419- CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8.8

CVE-2025-5419 fue detectada mientras ya estaba siendo activamente explotada. Investigadores del equipo de análisis de amenazas de Google (TAG) la descubrieron en medio de una campaña de ciberataques dirigidos, probablemente llevada a cabo por grupos con recursos avanzados, como los que suelen asociarse a grupos APT. El ataque se basa en un type confusion dentro del motor V8, de manera que el atacante puede crear una situación en la que la memoria queda corrupta, permitiendo alterar el flujo de ejecución del navegador.

Versiones afectadas

• Google Chrome: Versiones anteriores a la 137.0.7151.68 (Windows, Linux, macOS)
• Microsoft Edge: Versiones anteriores a las que integran el parche de V8 equivalente al Chrome 137.0.7151.68
• Brave, Opera, Vivaldi: Todas las versiones basadas en Chromium anteriores a las que incorporan V8 actualizado al parche de finales de mayo de 2025

Recomendaciones

• Se recomienda a los usuarios actualizar a la versión 137.0.7151.68/.69 de Chrome para Windows y macOS, y a la versión 137.0.7151.68 para Linux para protegerse de posibles amenazas
• También se recomienda a los usuarios de navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias

• https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html
• https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html
• https://www.larazon.es/tecnologia-consumo/actualiza-chrome-antes-posible-google-alerta-grave-fallo-seguridad_20250603683ecd657b27927d3db9aa28.html

Vulnerabilidad - 18 de junio

Introducción

CVE-2025-2783 es una vulnerabilidad crítica en Google Chrome para Windows que los atacantes pueden aprovechar para escapar del entorno seguro (sandbox) del navegador y ejecutar software malicioso en el equipo.

Análisis

CVE-2025-2783 - CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H - 8.3

Esta vulnerabilidad ha sido utilizada por el grupo APT TaxOff contra objetivos ubicados en Rusia, entre ellos periodistas, académicos y funcionarios gubernamentales.

El vector de ataque comenzaba con un correo electrónico de phishing que contenía enlaces a supuestos eventos intelectuales. Al hacer clic en el enlace, el usuario era redirigido a una página que explotaba automáticamente la vulnerabilidad sin requerir ninguna acción adicional. Una vez explotado el fallo, el sistema de la víctima era infectado con una puerta trasera denominada Trinper. Este malware contaba con múltiples funcionalidades de espionaje: desde el registro de pulsaciones de teclado y la recopilación de archivos sensibles (como documentos PDF, Word o Excel) hasta la ejecución de comandos remotos y la conexión con servidores de comando y control (C2). 

Versiones afectadas

Todas las anteriores a la versión 134.0.6998.177 (estable) y 134.0.6998.178 (extendida).

Recomendaciones

Actualizar Google Chrome a la versión 134.0.6998.177 o superior.

Workarounds

No hay workarounds disponibles para esta vulnerabilidad. 

Referencias

• https://thehackernews.com/2025/06/google-chrome-zero-day-cve-2025-2783.html
• https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html