Acceder Suscribirse
2 min read

Vulnerabilidades Críticas en Microsoft Edge

Vulnerabilidades Críticas en Microsoft Edge
Photo by appshunter.io / Unsplash

Se han identificado múltiples vulnerabilidades de alta severidad en Microsoft Edge (basado en Chromium) que permiten a atacantes remotos ejecutar ejecución remota de código (RCE) y provocar denegación de servicio (DoS). Estas vulnerabilidades son explotables mediante páginas HTML maliciosas, afectando a usuarios Windows, macOS y Linux 126.

Productos Afectados

Sistema OperativoVersiones VulnerablesVersión Parcheada
Windows, macOS, Linux< 137.0.3296.93137.0.3296.93 o superior

Vulnerabilidades Detectadas

1. CVE-2025-6191 (CVSS 8.8) 17

  • Tipo: Desbordamiento de enteros (Integer Overflow) en el motor V8.
  • Impacto:
    • Acceso a memoria fuera de límites, permitiendo corrupción de datos, DoS o ejecución remota de código.
  • Vector de ataque: Páginas HTML maliciosas (explotación al visitar sitios comprometidos).

2. CVE-2025-6192 (CVSS 8.8) 26

  • Tipo: Uso posterior a liberación (Use-After-Free) en el componente "Métricas".
  • Impacto:
    • Corrupción de heap para ejecutar código arbitrario y tomar control total del sistema.

Riesgos para la Comunidad Universitaria

  • Robo de credenciales institucionales: Acceso no autorizado a correos UC, plataformas académicas o sistemas internos.
  • Infección de redes: Propagación de malware a equipos de laboratorios, servidores o dispositivos personales vinculados.
  • Pérdida de datos: Cifrado de investigaciones, tesis o información administrativa con ransomware 16.

Recomendaciones del CSIRT-UC

  1. Actualización inmediata:
    • Abre Edge > Haz clic en ••• (Menú) > Configuración > Acerca de Microsoft Edge.
    • Si la versión es inferior a 137.0.3296.93reinicia el navegador para aplicar el parche 29.
  2. Verificación proactiva para equipos institucionales:
    • Personal TIC: Despliegue la actualización mediante Microsoft Endpoint Manager o Políticas de Grupo (GPO).
    • Monitoreo: Utilice herramientas como Microsoft Defender for Endpoint para detectar dispositivos vulnerables 9.
  3. Contramedidas temporales:
    • Habilite el modo "Bloquear contenido no seguro" (Configuración > Privacidad y seguridad > Seguridad).
    • Desactive JavaScript en sitios no confiables mediante extensiones como NoScript 6.
  4. Concientización:
    • Evite hacer clic en enlaces sospechosos o visitar sitios web no verificados.
    • Reporte correos o mensajes inusuales a sysadmin@uc.edu.py.

¿Qué hacer si fue comprometido?

  1. Aísle el dispositivo: Desconéctelo de la red universitaria.
  2. Restablezca Edge: Ejecute Configuración > Restablecer configuración.
  3. Cambie credenciales: Actualice contraseñas de cuentas institucionales y personales.
  4. Reporte al CSIRT-UC: Envíe detalles a 📧 sysadmin@uc.edu.py

Referencias Técnicas