Google ha publicado una actualización de seguridad de emergencia para Chrome, abordando una vulnerabilidad crítica de día cero que los atacantes están explotando activamente en los ataques del mundo real.
El gigante tecnológico confirmó que los actores de amenazas apalancan CVE-2025-6558, lo que provocó una implementación de parche inmediata en todas las plataformas compatibles.
Google Chrome se ha actualizado a la versión 138.0.7204.157/.158 para sistemas Windows y Mac, y la versión 138.0.7204.157 para distribuciones de Linux.
Control de llave
1.
2. Versiones de Chrome 138.0.7204.157/.158 (Windows/Mac) y 138.0.7204.157 (Linux) arreglan seis vulnerabilidades de seguridad, incluidas tres fallas de alta severidad.
3. La actualización de los parches CVE-2025-7656 (desbordamiento de enteros en V8) y CVE-2025-7657 (uso sin uso en WEBRTC).
4. Los usuarios deben actualizar Chrome inmediatamente, ya que la explotación activa plantea riesgos de seguridad inmediatos para los sistemas no parchados.
La actualización aborda seis vulnerabilidades de seguridad, siendo la más severa el defecto de día cero explotado activamente. El despliegue ocurrirá gradualmente en los próximos días y semanas como parte del proceso de implementación estándar de Google.
Vulnerabilidad de Google Chrome de 0 días
La vulnerabilidad CVE-2025-6558 proviene de la validación incorrecta de la entrada no confiable en los componentes de ángulo y GPU. Este defecto fue descubierto e informado por Clément Lecigne y Vlad Stolyarov del grupo de análisis de amenazas de Google el 23 de junio de 2025.
La afiliación de los investigadores con el equipo de seguridad interna de Google sugiere que la vulnerabilidad puede haberse identificado a través de actividades avanzadas de monitoreo de amenazas o respuesta a incidentes.
Más allá del exploit de día cero, Google abordó otras dos vulnerabilidades de alta severidad en esta actualización. CVE-2025-7656 representa un problema de desbordamiento entero en V8, el motor JavaScript de Chrome, descubierto por el investigador de seguridad Shaheen Fazim. Esta vulnerabilidad tenía una recompensa de la recompensa de $ 7,000, lo que refleja su significativo impacto potencial en la seguridad del usuario.
El tercer defecto de alta severidad, CVE-2025-7657, implica una vulnerabilidad libre de uso en la funcionalidad de WEBRTC, informada por el investigador Jakebiles. Las vulnerabilidades gratuitas de uso pueden permitir potencialmente a los atacantes ejecutar el código arbitrario o los bloqueos del sistema causar.
Google enfatizó que el acceso a información detallada de errores permanece restringido hasta que la mayoría de los usuarios reciben la actualización de seguridad. Este enfoque evita que los actores maliciosos de los parches de ingeniería inversa desarrollen nuevas exploits antes de que ocurra un despliegue generalizado.
La compañía mantiene restricciones similares a las vulnerabilidades que afectan las bibliotecas de terceros utilizadas por otros proyectos.
La actualización incorpora correcciones de las iniciativas de seguridad interna continuas de Google, incluidos los resultados de DirectsSanitizer, MemorySanitizer, Undefined Behaviorsanitizer, Control Flow Integrity, Libfuzzer y AFL Testing Frameworks. Estas herramientas de seguridad automatizadas escanean continuamente la base de código de Chrome en busca de posibles vulnerabilidades.
Los usuarios deben actualizar inmediatamente sus navegadores Chrome a la última versión. Chrome generalmente se actualiza automáticamente, pero los usuarios pueden verificar manualmente las actualizaciones navegando al menú Configuración de Chrome y seleccionando “Acerca de Google Chrome”. Dada la explotación activa de CVE-2025-6558, retrasar esta actualización podría exponer a los usuarios a riesgos de seguridad significativos.
El descubrimiento de esta vulnerabilidad de día cero subraya el juego en curso de gato y ratón entre investigadores de seguridad y actores maliciosos en el ecosistema del navegador.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
