Google publicó una actualización de seguridad para mitigar una vulnerabilidad de alta severidad en su navegador Chrome, identificada como CVE-2025-4664. Esta falla ya está siendo activamente explotada, según ha confirmado la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) al incluirla en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La vulnerabilidad CVE-2025-4664 radica en una aplicación inadecuada de las políticas de seguridad en el componente Loader de Chrome, lo cual permite el filtrado no autorizado de datos entre orígenes. Esta debilidad puede ser aprovechada por actores maliciosos para realizar exfiltración de datos sensibles y, potencialmente, secuestrar sesiones de usuario o cuentas, particularmente en contextos como autenticaciones OAuth.
El fallo puede ser explotado a través de una página HTML especialmente diseñada con fines maliciosos. Las versiones vulnerables de Chrome son aquellas anteriores a v136.0.7103.113/.114, tanto en sistemas Windows, macOS como Linux.
Aunque Google mencionó estar al tanto de informes sobre la existencia de la vulnerabilidad, no se confirmó inicialmente su explotación activa. Sin embargo, su inclusión en el catálogo KEV por parte de CISA constituye una validación oficial de que la vulnerabilidad está siendo utilizada en campañas reales.
El vector de ataque abusa de forma en que Chrome maneja la cabecera Link y la política de referencia (referrer-policy), permitiendo forzar el envío de datos sensibles (como parámetros de consulta) a destinos no seguros. Esta técnica puede resultar particularmente efectiva en contextos donde dichos parámetros contienen tokens de autenticación o credenciales temporales.
La explotación requiere interacción del usuario, ya que este debe acceder a la página maliciosa. Sin embargo, dicho requisito no representa una barrera significativa, dado que técnicas comunes de ingeniería social pueden facilitar ese acceso.
Mitigación y recomendaciones
La inclusión de CVE-2025-4664 en el catálogo KEV obliga a las agencias civiles del gobierno federal de EE. UU. a aplicar medidas de mitigación antes del 5 de julio de 2025. No obstante, se recomienda enfáticamente que todas las organizaciones, incluidas las del sector privado, verifiquen que estén ejecutando versiones actualizadas de Chrome.
Los usuarios que gestionan manualmente sus actualizaciones deben asegurarse de cerrar todas las instancias del navegador y reiniciarlo para completar la instalación. En entornos con actualizaciones automáticas activadas, la corrección ya debería estar aplicada.
El fallo también ha sido corregido en Microsoft Edge, y se espera que otros navegadores basados en Chromium, como Opera y Brave, integren el parche en sus próximas versiones.
Fuentes:
- CISA: Se ha corregido recientemente una vulnerabilidad de Chrome explotada indiscriminadamente (CVE-2025-4664) https://www.helpnetsecurity.com/2025/05/16/cisa-recently-fixed-chrome-vulnerability-exploited-in-the-wild-cve-2025-4664/
- Chrome: CISA alerta por vulnerabilidad crítica explotada (CVE-2025-4664) https://underc0de.org/foro/noticias-informaticas-120/chrome-cisa-alerta-por-vulnerabilidad-critica-explotada-cve-2025-4664/
- Vulnerabilidad 0-day en Google Chrome https://ciberseguridad.euskadi.eus/noticia/2025/vulnerabilidad-0-day-en-google-chrome/webcyb00-contcibglos/es/
- Google Chrome Corrige Vulnerabilidad Crítica que Compromete la Seguridad de Cuentas de Usuario https://cybersecurefox.com/es/chrome-vulnerabilidad-critica-cve-2025-4664-seguridad-cuentas/
Deja una respuesta