Chrome golpea de nuevo: Google corrige el cuarto exploit de día cero en 2025

Google lanzó una actualización de seguridad de emergencia para Chrome el lunes para abordar una vulnerabilidad de día cero que estaba siendo explotada activamente y que afectaba a usuarios de Windows y Mac en todo el mundo. Este es el cuarto día cero de Chrome corregido desde principios de 2025.

La vulnerabilidad de día cero, rastreada como CVE-2025-6554, ha sido descrita como un error de “confusión de tipo” de alta gravedad en el motor V8 de JavaScript y WebAssembly de Chrome.

Clement Lecigne, un investigador de seguridad del Grupo de Análisis de Amenazas (TAG) de Google, quien señaló la vulnerabilidad de día cero el 25 de junio de 2025, ha sido acreditado por descubrirla y reportarla. TAG es conocido por descubrir ataques sofisticados vinculados a actores de estados-nación.

¿Cuál es la vulnerabilidad?

Los errores de confusión de tipo en V8, el motor de JavaScript de Chrome, ocurren cuando el navegador se confunde sobre el tipo de datos que está manejando. Esto puede hacer que Chrome interprete incorrectamente la memoria, abriendo la puerta a lecturas/escrituras arbitrarias y, en algunos casos, a la ejecución remota de código (RCE) completa.

Este error puede permitir a los hackers acceder a partes de la memoria que no deberían, lo que puede permitirles ejecutar código dañino o hacer que el navegador se bloquee.

“Google es consciente de que existe un exploit para CVE-2025-6554 en la naturaleza”, dijo el gigante tecnológico en un aviso de seguridad emitido el lunes.

Según la Base de Datos Nacional de Vulnerabilidades (NVD), este error impacta las versiones de Chrome anteriores a 138.0.7204.96 y puede permitir a los atacantes ejecutar código malicioso o causar que la aplicación se bloquee.

Medidas de mitigación

Google desplegó una mitigación temporal en el lado del servidor el 26 de junio de 2025, a través del canal estable de Chrome para corregir la vulnerabilidad de día cero. La compañía ha lanzado un parche completo para los usuarios de Chrome en el canal de Escritorio Estable: Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) y usuarios de Linux (138.0.7204.96).

“El acceso a los detalles del error y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También mantendremos restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no han corregido”, dijo Google.

Google aún no ha revelado detalles sobre la explotación o los actores de amenaza detrás de los ataques. Dado que el error está siendo explotado activamente en la naturaleza, se recomienda encarecidamente a los usuarios que apliquen el parche de seguridad lo antes posible para proteger sus dispositivos y a sí mismos de riesgos de seguridad significativos.

Si bien la actualización automática de Chrome eventualmente instalará la solución, también puedes actualizar Chrome manualmente yendo a Configuración > Ayuda > Acerca de Google Chrome.

¿Por qué es este el cuarto?

** Los días cero previamente corregidos en Chrome durante 2025 incluyen CVE20252783 (marzo): Manejador incorrecto proporcionado en circunstancias no especificadas en Mojo en Windows; CVE20254664 (mayo): Insuficiente aplicación de políticas en Loader; y CVE20255419 (junio): Lectura y escritura fuera de límites en V8.

Con CVE20256554 ahora corregido, esto marca el cuarto exploit de día cero activo abordado en solo siete meses.