Google ha impulsado una actualización de emergencia al navegador Chrome ampliamente utilizado después de identificar una vulnerabilidad de día de cero explotada activamente en el producto, el cuarto encontrado hasta ahora en 2025. Rastreado como CVE-2025-6554, se describe como una falla de confusión de tipo en el motor JavaScript V8 desarrollado por Google que se compila y ejecuta el código JavaScript en los browsers de Chromium. Fue identificado por el Lecigne de Clémement (TAG) del Grupo de Análisis de Amenazos de Google el 25 de junio, y se solucionó al día siguiente por un cambio de configuración que ahora se ha presionado al canal estable en todas las plataformas. Left sin control, la Base de datos de vulnerabilidad nacional de los Estados Unidos (NVD), que es operada por el Instituto Nacional de Normas y Tecnología (NIST), dijo que la vulnerabilidad de alta severidad podría haber permitido a los atacantes remotos realizar acciones de lectura o escribir arbitrarias a través de una página HTML especialmente diseñada. En términos de Layman, esto significa que los usuarios de Chrome vulnerables atraídos a visitar un sitio web controlado por los atacantes pueden estar expuestos a ataques en los que los actores de amenaza instalan malware, incluido el spyware, en sus dispositivos, o tomar otras acciones maliciosas, como evitar restricciones de seguridad para realizar un movimiento lateral más profundo en su entorno o acceder y robar datos confidenciales. «Google es consciente de que existe un exploit para CVE-2025-6554 en la naturaleza», dijo Google en su aviso de actualización. Sin embargo, dado que la actualización puede tardar un tiempo en filtrarse a todos los usuarios de Chrome, Google no proporcionó más detalles técnicos del problema más allá del hecho de que un exploit parece estar utilizando en ataques cibernéticos. Tenga en cuenta que la etiqueta de Google con frecuencia monitorea e informa sobre la actividad cibernética respaldada por el estado, pero esto no es necesariamente un indicador de atribución a cualquier nexo de amenaza. Los usuarios de Chrome pueden verificar si su navegador está al día navegando al menú de ayuda a través del icono de tres puntos en la esquina superior derecha de la ventana de su navegador, y luego haciendo clic en Google Chrome. En la mayoría de los casos, hacerlo debería activar automáticamente la actualización si aún no se ha aplicado. ¿Qué son los errores de confusión de tipo? Un tipo de vulnerabilidad de confusión surge cuando un programa hace una suposición inexacta sobre el tipo de recurso de objeto e intenta acceder o usarlo como si fuera el tipo asumido. Esto arroja errores y comportamientos indeseables, como bloqueos, corrupción de datos y acceso a la memoria incorrecta, o en este caso, habilitando la ejecución del código arbitrario. Los atacantes pueden aprovechar estas condiciones escribiendo un código JavaScript específico para activar suposiciones de tipo incorrecto dentro de V8. Estos errores tienden a aparecer en lenguajes de codificación C y C ++ (Chrome y V8 están escritos en C ++, que se hacen con los mecanismos de seguridad de la memoria, pero según Socrar, también se han visto en el código PHP y PERL. Además de los navegadores web como Chrome, Firefox o Safari, también pueden ocurrir en lectores de PDF, otros motores JavaScript además de V8 o componentes del sistema operativo. Los desarrolladores pueden evitar introducir fallas de confusión de tipo en su software realizando una verificación de tipo apropiada en la compilación y el tiempo de ejecución, utilizando lenguajes seguros de memoria si es posible, implementando verificaciones de verificación de tipo de ejecución, realizando revisiones de código que se centran en la fundición de tipo y utilizando herramientas de análisis estáticos para detectar posibles problemas en la línea.
Deja una respuesta