Google ha publicado actualizaciones de seguridad para abordar una vulnerabilidad en su navegador Chrome para la cual existe un exploit.
La vulnerabilidad de día cero, rastreada como CVE-2025-6554 (puntuación CVSS: N/A), se ha descrito como una falla de confusión de tipos en el motor JavaScript y WebAssembly V8.
«La confusión de tipos en la versión 8 de Google Chrome anterior a la versión 138.0.7204.96 permitía a un atacante remoto realizar lecturas y escrituras arbitrarias a través de una página HTML diseñada», según una descripción del error en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.
Las vulnerabilidades de confusión de tipos pueden tener consecuencias graves ya que pueden explotarse para desencadenar un comportamiento inesperado del software, lo que resulta en la ejecución de código arbitrario y fallas del programa.
Errores de día cero como este, son especialmente riesgosos porque los atacantes a menudo comienzan a usarlos antes de que haya una solución disponible. En ataques del mundo real, estas fallas pueden permitir a los actores instalar software espía, iniciar descargas automáticas o ejecutar silenciosamente código dañino —, a veces simplemente haciendo que alguien abra un sitio web malicioso.
A Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, se le atribuye haber descubierto e informado sobre la falla el 25 de junio de 2025, lo que indica que puede haber sido utilizada como arma en ataques altamente específicos — posiblemente que involucraran actores de estados nacionales u operaciones de vigilancia. TAG, generalmente detecta e investiga amenazas graves, como ataques respaldados por el gobierno.
El gigante tecnológico, también señaló que el problema se mitigó al día siguiente mediante un cambio de configuración que se envió al canal Stable en todas las plataformas. Para los usuarios comunes, eso significa que la amenaza puede no estar generalizada todavía, pero aún es urgente aplicar un parche —, especialmente si usted ocupa puestos que manejan datos confidenciales o de alto valor.
Google no ha publicado ningún detalle adicional sobre la vulnerabilidad y quién pudo haberla explotado, pero reconoció que «existe en la naturaleza un exploit para CVE-2025-6554«
CVE-2025-6554 es la cuarta vulnerabilidad de día cero en Chrome, que Google aborda desde principios de año, después de CVE-2025-2783, CVE-2025-4664, y CVE-2025-5419, sin embargo, cabe señalar, que no hay claridad sobre si se ha abusado de CVE-2025-4664 en un contexto malicioso.
Para protegerse contra posibles amenazas, se recomienda actualizar su navegador Chrome a las versiones 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS y 138.0.7204.96 para Linux.
Si no está seguro de si su navegador está actualizado, vaya a Configuración > Ayuda > Acerca de Google Chrome — debería activar la última actualización automáticamente. Para las empresas y los equipos de TI que administran múltiples puntos finales, es fundamental habilitar la gestión automática de parches y monitorear el cumplimiento de las versiones del navegador.
También se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.
Fuente
Ciberprisma - alianza por la ciberseguridad 