Google ha lanzado una actualización crítica de seguridad para su navegador Chrome tras descubrirse una vulnerabilidad de tipo zero-day identificada como CVE-2025-6558. La vulnerabilidad afecta directamente a los componentes ANGLE (Almost Native Graphics Layer Engine) y GPU, permitiendo a los atacantes evadir los mecanismos de aislamiento del navegador.
- CVE-2025-6558 (CVSS: 8.8): Esta vulnerabilidad permite a un atacante remoto ejecutar un escape de sandbox al inducir al usuario a visitar una página HTML maliciosa. ANGLE (Almost Native Graphics Layer Engine) es una capa de traducción que permite a Chrome interactuar con los drivers gráficos del sistema, y su explotación representa un serio riesgo de escalada de privilegios.
Productos y Versiones Afectadas
- Windows y macOS: versiones anteriores a 138.0.7204.157 / .158
- Linux: versiones anteriores a 138.0.7204.157
Solución
Actualizar inmediatamente Google Chrome a las siguientes versiones:
- Windows y macOS: versiones 138.0.7204.157 / .158
- Linux: versiones 138.0.7204.157
Recomendaciones
- Verificar que el navegador haya sido reiniciado para aplicar los parches correctamente.
- Auditar el parque de equipos para asegurar que no existan navegadores sin actualizar.
- Restringir el uso de versiones obsoletas en entornos críticos.
- Promover el uso de navegación segura y concientizar a los usuarios sobre los riesgos de interactuar con enlaces desconocidos.
Referencias
- https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-sandbox-escape-zero-day-in-chrome/
- https://www.helpnetsecurity.com/2025/07/16/update-google-chrome-to-fix-actively-exploited-zero-day-cve-2025-6558/
- https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html
- https://thehackernews.com/2025/07/urgent-google-releases-critical-chrome.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6558