Vulnerabilidades Críticas en Microsoft Edge
Microsoft ha liberado una actualización de seguridad crítica para su navegador Microsoft Edge (Canal Estable) que aborda múltiples vulnerabilidades. La explotación exitosa de estas vulnerabilidades podría permitir a un actor malicioso no autenticado llevar a cabo una variedad de acciones perjudiciales, incluyendo la divulgación de información confidencial, provocar condiciones de denegación de servicio (DoS), manipular datos o ejecutar código de forma remota en el sistema objetivo.
Dada la severidad de algunas de estas vulnerabilidades, especialmente aquellas heredadas del motor Chromium, se insta a los usuarios y administradores de sistemas a aplicar las actualizaciones correspondientes de manera inmediata.
PRODUCTOS AFECTADOS
- Versiones del canal estable de Microsoft Edge anteriores a 137.0.3296.52.
DESCRIPCIÓN TÉCNICA DE LAS VULNERABILIDADES PRINCIPALES
La presente actualización de seguridad corrige diversas fallas, siendo las de mayor criticidad aquellas originadas en el proyecto Chromium, sobre el cual se basa Microsoft Edge. Entre ellas destacan:
- CVE-2025-5063 (Puntuación CVSS v3.1: 8.8 - ALTO):
- Descripción: Vulnerabilidad de tipo "uso después de liberación" (Use-After-Free) en el componente de Composición de Google Chrome (versiones anteriores a 137.0.7151.55).
- Impacto: Un atacante podría explotar esta vulnerabilidad mediante la creación de una página HTML especialmente manipulada. Al ser procesada por el navegador afectado, podría llevar a una corrupción de la memoria heap, potencialmente resultando en la ejecución remota de código arbitrario con los privilegios del usuario.
- CVE-2025-5280 (Puntuación CVSS v3.1: 8.8 - ALTO):
- Descripción: Vulnerabilidad de tipo "escritura fuera de límites" (Out-of-Bounds Write) en el motor JavaScript V8 de Google Chrome (versiones anteriores a 137.0.7151.55).
- Impacto: Similar a la CVE anterior, esta vulnerabilidad puede ser activada a través de una página HTML maliciosa. Su explotación exitosa podría conducir a una corrupción de la memoria heap, abriendo la puerta a una posible ejecución remota de código.
IMPACTO POTENCIAL
La explotación de las vulnerabilidades mencionadas, y otras abordadas en esta actualización, podría tener las siguientes consecuencias:
- Ejecución Remota de Código (RCE): Un atacante podría ejecutar comandos arbitrarios en el sistema del usuario, comprometiendo la integridad, confidencialidad y disponibilidad del sistema.
- Divulgación de Información Confidencial: Podría filtrarse información sensible almacenada o procesada por el navegador.
- Denegación de Servicio (DoS): El navegador podría cerrarse inesperadamente o dejar de responder, afectando la productividad del usuario.
- Manipulación de Datos: Un atacante podría alterar la información que se muestra al usuario o que se envía desde el navegador.
SOLUCIÓN Y RECOMENDACIONES
El CSIRT-UC recomienda a todos los usuarios y administradores de sistemas que utilicen Microsoft Edge:
- Actualizar Inmediatamente: Instalar la versión 137.0.3296.52 o posterior de Microsoft Edge (Canal Estable).
- Para actualizar, diríjase al menú de Microsoft Edge (los tres puntos en la esquina superior derecha), seleccione
Ayuda y comentariosy luegoAcerca de Microsoft Edge. El navegador buscará automáticamente la actualización y la instalará. Es posible que se requiera reiniciar el navegador para completar la actualización.
- Para actualizar, diríjase al menú de Microsoft Edge (los tres puntos en la esquina superior derecha), seleccione
- Verificar la Actualización: Asegurarse de que la versión instalada sea la 137.0.3296.52 o una superior.
- Habilitar Actualizaciones Automáticas: Configurar Microsoft Edge para que reciba e instale actualizaciones automáticamente, garantizando así la protección contra futuras vulnerabilidades de manera oportuna.
- Principio de Menor Privilegio: Navegar por internet utilizando cuentas de usuario sin privilegios de administrador siempre que sea posible, para limitar el impacto potencial de una explotación exitosa.
- Cautela con Sitios Desconocidos: Evitar navegar por sitios web no confiables o hacer clic en enlaces sospechosos, ya que a menudo son vectores de ataque para explotar vulnerabilidades del navegador.
REFERENCIAS
- Guía de Actualizaciones de Seguridad de Microsoft (MSRC)
- NVD - CVE-2025-5063
- NVD - CVE-2025-5280
- Notas de Lanzamiento de Seguridad de Chromium (Referencia para vulnerabilidades base): Suelen encontrarse en elBlog de Chrome Releases(se recomienda buscar información sobre la versión 137.0.7151.55 o similar).
INFORMACIÓN DE CONTACTO CSIRT-UC
Para reportar incidentes de seguridad o solicitar asistencia relacionada con este boletín, por favor contacte a:
- Sitio Web: CSIRT-UC