Nuevas Vulnerabilidades Críticas en Microsoft Edge

Alerta: Nuevas Vulnerabilidades Críticas en Microsoft Edge

Microsoft ha emitido una actualización urgente para dos vulnerabilidades activas (CVE-2025-49713 y CVE-2025-6554) en Microsoft Edge (Chromium). Estas fallas permiten a atacantes remotos ejecutar código arbitrario (RCE) y acceder a datos sensibles mediante páginas HTML maliciosas. Los sistemas Windows, macOS y Linux están en riesgo si no se actualizan inmediatamente.

Detalles Técnicos

1. CVE-2025-49713 (CVSS 8.8)

• Tipo: Type Confusion (Confusión de Tipos) en el motor V8.
• Impacto:
  • Ejecución remota de código al manipular objetos en memoria mediante JavaScript malicioso.
• Vector: Visita a sitios web comprometidos o anuncios maliciosos.

2. CVE-2025-6554 (CVSS 8.1)

• Tipo: Acceso a recursos mediante tipo incompatible (Incompatible Type Access).
• Impacto:
  • Lectura/escritura arbitraria de memoria, permitiendo robo de cookies, credenciales y datos de sesión.

Productos Afectados

Riesgos para la Comunidad Universitaria

• Robo de credenciales institucionales: Acceso a correo UC, plataformas académicas, y sistemas administrativos.
• Pérdida de confidencialidad: Exfiltración de investigaciones, expedientes estudiantiles o datos financieros.
• Infección en cadena: Propagación de malware a equipos de laboratorios o redes universitarias.

Recomendaciones del CSIRT-UC

1. Actualización inmediata (¡Prioridad!):
   • Abra Edge > ··· (Menú) > Configuración > Acerca de Microsoft Edge.
   • Si la versión es < 138.0.3351.65, reinicie el navegador para aplicar el parche.
2. Concientización:
   • No abra enlaces sospechosos en correos o mensajes no solicitados.
   • Revise permisos de extensiones (edge://extensions).

Referencias Técnicas

• CVE-2025-49713: NIST Advisory
• CVE-2025-6554: Microsoft Advisory
• Actualizaciones de Edge (Julio 2025)