Google ha lanzado una actualización de seguridad de emergencia para Chrome para abordar una vulnerabilidad de uso crítico sin uso (CVE-2025-9478) en la biblioteca de gráficos Angle que podría permitir a los atacantes ejecutar código arbitrario en sistemas comprometidos.
La vulnerabilidad afecta las versiones de Chrome antes de 139.0.7258.154/.155 en las plataformas Windows, Mac y Linux.
La falla de seguridad fue descubierto por el gran equipo de investigación de vulnerabilidad de AI de Google el 11 de agosto de 2025, y se le ha asignado la calificación de gravedad de CVSS más alta.
Control de llave
1. Chrome 139.0.7258.154/.155 parches Ángulo crítico UAF.
2. Impacta la representación de GPU en Windows, Mac y Linux.
3. Actualizar ahora; Use EDR, aislamiento y CSP para bloquear los exploits.
La actualización del canal estable de Chrome, lanzada el 26 de agosto de 2025, aborda este problema crítico de corrupción de la memoria a través de actualizaciones automáticas que se implementan a nivel mundial.
Vulnerabilidad crítica de ángulo de cromo
La vulnerabilidad reside dentro del ángulo de Chrome (motor de capa gráfica casi nativa), que traduce las llamadas API de OpenGL ES a las API de gráficos específicas de hardware, incluidas Direct3D, Vulkan y Native OpenGL.
Las vulnerabilidades gratuitas de uso ocurren cuando un programa continúa usando un puntero de memoria después de que la memoria se haya desastrado, creando oportunidades para la manipulación de montón y los ataques de corrupción de la memoria.
En este caso específico, la falla en las rutinas de gestión de memoria de Angle podría explotarse a través de contenido web de forma maliciosa que desencadena secuencias de distribución de memoria incorrectas.
La explotación exitosa permitiría a los atacantes lograr la ejecución de código arbitraria con los privilegios del proceso de renderizador de Chrome, lo que podría conducir al escape de sandbox y al compromiso completo del sistema.
La vulnerabilidad es particularmente preocupante debido al uso generalizado de Angle en las aplicaciones web que utilizan la representación de WebGL, las operaciones de lienzo HTML5 y el procesamiento de gráficos acelerado por GPU.
Los atacantes podrían aprovechar los ataques de descarga, anuncios maliciosos o sitios web comprometidos para ofrecer cargas útiles de explotación dirigida a esta falla de corrupción de memoria.
Factores de riesgo Los productos para el escritorio de la CHROME (≤ 139.0.7258.153) en Windows, Mac, Linuximpactarbitrary ExecutionExPloit Requisito Requisito Requisito abre contenido web malicioso con GPU AcelerationCVSS 3.1 Score9.8 (crítico)
Mitigaciones
Las organizaciones deben priorizar el despliegue inmediato de Chrome versión 139.0.7258.154 o más tarde para mitigar los riesgos de explotación.
La actualización incluye parches completos para las funciones de gestión de memoria de la biblioteca de Angle y los mecanismos mejorados de protección del montón para evitar condiciones similares de uso sin uso.
Los equipos de seguridad deben implementar soluciones de listado de la lista, segmentación de redes y detección y respuesta de punto final (EDR) para detectar posibles intentos de explotación.
Además, las organizaciones deben considerar la implementación de encabezados de la política de seguridad de contenido (CSP) y las tecnologías de aislamiento del navegador para limitar la superficie de ataque para las exploits basadas en la web que se dirigen a esta clase de vulnerabilidad.
Dada la naturaleza crítica de este defecto y su potencial de explotación de día cero, los profesionales de la seguridad deben monitorear los patrones de tráfico de red inusuales, el desove de procesos inesperados y los comportamientos de asignación de memoria anómalos que pueden indicar intentos de explotación activa contra las instalaciones de Chrome sin parpadear.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}