Vulnerabilidades Activas en Google Chrome

Vulnerabilidades Activas en Google Chrome

Google ha publicado una actualización de emergencia para tres vulnerabilidades críticas en Chrome, incluyendo CVE-2025-6558 explotada activamente en ataques reales. Estas fallas permiten a atacantes escapar del entorno seguro del navegador (sandbox escape), ejecutar código arbitrario (RCE) y tomar control total de sistemas mediante páginas HTML maliciosas. Se requiere acción inmediata en todos los dispositivos .

Vulnerabilidades Críticas

1. CVE-2025-6558 (CVSS 8.8) - ⚠️ EXPLOTACIÓN ACTIVA

• Componente: ANGLE/GPU (motor gráfico).
• Mecanismo: Validación insuficiente de entradas permite escapar del sandbox y ejecutar código a nivel de sistema.
• Impacto: Toma completa de control del dispositivo.

2. CVE-2025-7656 (CVSS 8.8)

• Componente: Motor JavaScript V8.
• Mecanismo: Integer Overflow que corrompe el heap para RCE.
• Vector: Páginas web con JavaScript malicioso.

3. CVE-2025-7657 (CVSS 8.8)

• Componente: WebRTC (comunicaciones en tiempo real).
• Mecanismo: Use-After-Free que permite ejecutar código remoto durante videollamadas o transferencias P2P.

Productos Afectados

Riesgos para la Comunidad Universitaria

• Compromiso total de dispositivos: Robo de credenciales institucionales (correo UC, Moodle, SGA).
• Pérdida de investigaciones: Cifrado de datos académicos con ransomware.
• Ataques en cadena: Propagación lateral a redes universitarias desde equipos infectados.

Recomendaciones del CSIRT-UC

🔒 Actualización Inmediata

1. Verifique su versión:
   • Abra Chrome > ⋮ (Menú) > Ayuda > Acerca de Google Chrome.
2. Actualice y reinicie:
   • Si la versión es inferior a 138.0.7204.157 (Linux) o 138.0.7204.158 (Windows/Mac), CIERRE TODAS LAS PESTAÑAS y reinicie el navegador.

Referencias Técnicas

• CVE-2025-6558: Análisis de explotación (Kaspersky)
• Actualización Chrome (15/07/2025)
• Guía de mitigación de sandbox escape