Vulnerabilidades en Microsoft Edge
1. Vulnerabilidades Críticas y su Mecanismo
- CVE-2025-8010 & CVE-2025-8011 (CVSS 8.8 - Alto):
- Tipo: Type Confusion (Confusión de Tipos) en el motor V8 de Chromium .
- Mecanismo de ataque:
- Un atacante remoto crea una página HTML maliciosa con código JavaScript manipulado.
- Al visitar la página, el navegador procesa incorrectamente los tipos de datos en memoria, causando corrupción del heap .
- Impacto:
- Ejecución remota de código (RCE): Toma de control total del sistema.
- Denegación de servicio (DoS): Bloqueo del navegador o sistema .
2. Productos Afectados y Versiones Vulnerables
| Sistema Operativo | Versiones Vulnerables | Versión Parcheada |
|---|---|---|
| Windows, macOS, Linux | Microsoft Edge < 138.0.3351.109 | 138.0.3351.109 o superior |
- Nota: Las versiones afectadas incluyen desde 100.0.1185.29 hasta 138.0.3351.95 .
3. Estado de Explotación y Riesgos
- Explotación activa: No se reportan casos públicos, pero Google restringió detalles técnicos para prevenir ataques masivos .
- Riesgos asociados:
- RCE: Instalación de malware, robo de credenciales o datos sensibles.
- Pivotaje a redes internas: Si el dispositivo está conectado a VPN corporativas .
- Vector de ataque: Requiere engañar a usuarios para visitar sitios maliciosos .
4. Acciones Recomendadas
- Actualización inmediata:
- Windows/macOS: Ir a
Configuración → Ayuda → Acerca de Microsoft Edge(se descarga automáticamente la versión 138.0.3351.109). - Verificar versión: La URL
edge://settings/helpdebe mostrar ≥138.0.3351.109.
- Windows/macOS: Ir a
Referencias Clave
- Boletín oficial de Microsoft (25/07/2025) .
- Análisis técnico de CVE-2025-8011 (NIST) .
- Alerta HKCERT sobre explotación activa .
CSIRT-UC