Google ha abordado una vulnerabilidad crítica de tipo zero-day en su navegador Chrome, identificada como CVE-2025-6554 sin CVSS asignado hasta el momento. Esta falla estaba siendo activamente explotada en ataques dirigidos antes de ser solventada.
Atacantes remotos no autenticados pueden explotar esta vulnerabilidad enviando páginas HTML manipuladas a sus objetivos. Estas páginas pueden activar la vulnerabilidad y permitirles ejecutar operaciones de lectura y escritura arbitrarias. En algunos casos, esto podría provocar la ejecución completa de código remoto.
Productos y Versiones Afectadas
- Windows: versiones anteriores a 138.0.7204.96/.97
- macOS: versiones anteriores a 138.0.7204.92/.93
- Linux: versiones anteriores a 138.0.7204.96
Solución
Actualizar inmediatamente a Google Chrome versión 138.0.7204.96 en Linux, 138.0.7204.96/.97 en Windows y 138.0.7204.92/.93 en macOS.
Recomendaciones
- Verificar que el navegador haya sido reiniciado para aplicar los parches correctamente.
- Auditar el parque de equipos para asegurar que no existan navegadores sin actualizar.
- Restringir el uso de versiones obsoletas en entornos críticos.
- Promover el uso de navegación segura y concientizar a los usuarios sobre los riesgos de interactuar con enlaces desconocidos.
- Promover el uso de navegación segura y concientizar a los usuarios sobre los riesgos de interactuar con enlaces desconocidos.
Referencias
- https://www.bleepingcomputer.com/news/security/google-fixes-fourth-actively-exploited-chrome-zero-day-of-2025/
- https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-6554
- https://thehackernews.com/2025/07/google-patches-critical-zero-day-flaw.html