CISA ha emitido una advertencia urgente sobre una vulnerabilidad crítica en Google Chromium de que los actores de amenaza están explotando activamente.
La vulnerabilidad, designada como CVE-2025-6558, plantea un riesgo de seguridad significativo para millones de usuarios en múltiples navegadores web que utilizan el motor de cromo.
Control de llave
1. La vulnerabilidad de cromo permite el escape de la caja de arena a través de HTML malicioso
2. Afecta todos los navegadores de cromo (cromo, borde, ópera).
3. CISA requiere parches antes del 12 de agosto de 2025, debido a la explotación activa.
Validación de entrada incorrecta (CVE-2025-6558)
La vulnerabilidad recientemente identificada proviene de la validación de entrada inadecuada dentro del ángulo de Chromium (motor de capa gráfica casi nativa) y componentes de GPU.
Este defecto técnico, clasificado bajo la enumeración de debilidad común CWE-20, crea una vía para que los atacantes remotos ejecuten potencialmente ataques sofisticados de escape de sandbox.
La gravedad de la vulnerabilidad radica en su capacidad para permitir que los actores maliciosos se liberen de la caja de arena de seguridad del navegador a través de páginas HTML cuidadosamente elaboradas, evitando efectivamente uno de los mecanismos de seguridad más fundamentales diseñados para proteger a los usuarios de las amenazas basadas en la web.
Los investigadores de seguridad han identificado que la validación de entrada inadecuada ocurre cuando el navegador procesa operaciones específicas relacionadas con los gráficos, particularmente aquellas que involucran la aceleración de GPU y la implementación OpenGL ES de Angle.
Esto crea un vector de ataque donde los sitios web maliciosos pueden explotar la debilidad de validación para obtener acceso no autorizado más allá del entorno de ejecución confinado del navegador.
El impacto de la vulnerabilidad se extiende mucho más allá de Google Chrome solo, lo que afecta a todo el ecosistema de los navegadores basados en el cromo.
Los principales navegadores, incluidos Microsoft Edge y Opera, son susceptibles a la explotación, dada su dependencia de la misma base de código de cromo subyacente.
Esta exposición generalizada potencialmente pone en riesgo a cientos de millones de usuarios en diferentes plataformas y sistemas operativos.
La metodología de ataque involucra a los actores de amenaza que organizan sitios web maliciosos que contienen páginas HTML especialmente diseñadas diseñadas para desencadenar la falla de validación de entrada.
Una vez que tiene éxito, los atacantes pueden aprovechar el escape de Sandbox para instalar potencialmente malware, robar datos confidenciales o establecer un acceso persistente a sistemas comprometidos.
Factores de riesgo Los productos afectados por Details: Google Chrome- Microsoft Edge- Oper- Todos los navegadores basados en el cromo Implacen- Sandbox Escape- Código remoto Potencial de ejecución de código de derivación- Requisito de seguridad de la seguridad del navegador de seguridad
Mitigaciones
CISA tiene establecido Una fecha límite de remediación firme del 12 de agosto de 2025, luego de la adición de la vulnerabilidad a su conocido catálogo de vulnerabilidades explotadas el 22 de julio de 2025.
Las organizaciones deben aplicar mitigaciones proporcionadas por proveedores de inmediato o suspender el uso de productos afectados si los parches no están disponibles.
La agencia hace referencia específicamente a la Directiva Operativa vinculante (BOD) 22-01 Orientación para los servicios en la nube, enfatizando la naturaleza crítica de este problema de seguridad.
Google ya ha comenzado a lanzar parches a través de sus actualizaciones de canales estables, con información detallada disponible a través de su blog de Chrome Lotes.
Los usuarios y los administradores deben priorizar actualizaciones inmediatas de las últimas versiones del navegador para proteger contra los intentos de explotación continuos que se dirigen a esta vulnerabilidad crítica.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
