(https://i.imgur.com/sHdOxk5.png)
Google ha lanzado una actualización crítica de seguridad para su navegador Chrome, abordando cuatro vulnerabilidades, incluida una falla de alta severidad que ya está siendo explotada activamente en el entorno real.
La vulnerabilidad, identificada como CVE-2025-4664 y con una puntuación CVSS de 4.3, se debe a una aplicación insuficiente de políticas en el componente Loader de Chrome. Esta falla podría permitir a un atacante remoto filtrar datos de origen cruzado utilizando una página HTML especialmente diseñada.
Detalles técnicos de la vulnerabilidadSegún la descripción oficial, esta vulnerabilidad afecta a versiones de Google Chrome anteriores a la 136.0.7103.113 y podría ser utilizada para robar información sensible mediante solicitudes HTML maliciosas.
"La aplicación insuficiente de políticas en Loader en Google Chrome antes de 136.0.7103.113 permitió a un atacante remoto filtrar datos de origen cruzado a través de una página HTML diseñada", señala el informe de seguridad de Google.
El descubrimiento fue atribuido al investigador de seguridad Vsevolod Kokorin (conocido como @slonser_), quien detalló la falla en una serie de publicaciones en X (anteriormente Twitter) el pasado 5 de mayo de 2025.
Cómo se explota CVE-2025-4664
Kokorin explicó que, a diferencia de otros navegadores, Chrome interpreta el encabezado "Link" en las solicitudes de subrecursos, lo que permite establecer una política de referencia peligrosa como unsafe-url. Esta configuración puede permitir que un atacante capture los parámetros de consulta completos, los cuales a menudo contienen datos sensibles como tokens de autenticación, identificadores de sesión o direcciones de correo electrónico.
CitarEn palabras del investigador:
"Podemos especificar unsafe-url y capturar los parámetros de consulta completos. Esta información puede contener datos confidenciales que pueden llevar a una toma de control de cuenta."
Además, Kokorin demostró cómo esta fuga de datos puede ser ejecutada mediante una simple imagen alojada en un recurso de terceros, facilitando la explotación sin necesidad de JavaScript ni interacción del usuario.
CVE-2025-4664: Exploit activo y riesgosLo más preocupante es que Google ha confirmado la existencia de un exploit en la naturaleza que aprovecha esta vulnerabilidad. Si bien aún no se ha verificado su uso en ataques reales fuera de la demostración del investigador, el hecho de que haya un exploit activo eleva el nivel de riesgo considerablemente.
Esta es la segunda vulnerabilidad de Chrome en 2025 que está siendo explotada en el mundo real, después de CVE-2025-2783, lo que subraya la necesidad urgente de mantener actualizado el navegador.
¿Qué versiones corrigen el fallo?Para protegerse de ataques que aprovechen CVE-2025-4664, Google recomienda actualizar inmediatamente a las siguientes versiones:
- Windows y macOS: 136.0.7103.113 / 136.0.7103.114
- Linux: 136.0.7103.113
Los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, también deben aplicar las actualizaciones tan pronto como estén disponibles, ya que comparten la misma base de código y son potencialmente vulnerables.
Recomendaciones de seguridadPara mitigar los riesgos asociados con esta vulnerabilidad:
- Actualiza tu navegador Chrome inmediatamente a la última versión disponible.
- Si utilizas navegadores derivados de Chromium, revisa sus canales de actualizaciones.
- Evita interactuar con enlaces sospechosos o páginas HTML no verificadas.
- Revisa la actividad de tus cuentas en caso de haber visitado sitios dudosos recientemente.
En conclusión, la vulnerabilidad CVE-2025-4664 en Google Chrome representa un riesgo real, ya que se ha confirmado un exploit activo que puede conducir al robo de datos sensibles o incluso a la toma de control de cuentas. La rápida respuesta de Google destaca la gravedad de la amenaza, y la actualización inmediata del navegador es esencial para garantizar la seguridad del usuario.
Mantener Chrome y otros navegadores basados en Chromium siempre actualizados es una de las mejores defensas frente a las amenazas emergentes en internet.
Fuente: https://thehackernews.com/