Google ha publicado una actualización de emergencia para Chrome que corrige la vulnerabilidad CVE‑2025‑6554, la cuarta brecha zero‑day que los atacantes han aprovechado este año. El parche ya se está desplegando para Windows, macOS y Linux, y la compañía urge a los usuarios a reiniciar el navegador cuanto antes.
¿Qué ha pasado exactamente?
- Tipo de fallo: se trata de un type confusion en el motor JavaScript V8. Estos errores ocurren cuando el programa asume que un bloque de memoria contiene un tipo de dato y en realidad contiene otro; al “confundirse”, el atacante puede leer o escribir fuera de los límites de seguridad del programa.
- Impacto práctico: además de provocar cuelgues, la escritura fuera de límites facilita la ejecución de código arbitrario, lo que abre la puerta a instalar malware o secuestrar sesiones de navegación.
- Descubridor: Clément Lecigne, del equipo TAG (Threat Analysis Group) de Google, denunció el fallo el 25 de junio tras detectar su explotación activa contra objetivos de alto perfil.
- Versiones parcheadas:
- Windows → 138.0.7204.96/97
- macOS → 138.0.7204.92/93
- Linux → 138.0.7204.92
El 26 de junio se aplicó un kill‑switch de configuración mientras se preparaban los binarios definitivos.
Contexto y buenas prácticas
Este es el cuarto 0‑day de Chrome en 2025, los anteriores (CVE‑2025‑2783, ‑4664 y ‑5882) ya mostraron que los atacantes apuntan cada vez más a la capa de renderizado. Mantener el navegador siempre actualizado, limitar extensiones y activar la navegación aislada (“Site Isolation”) reduce la superficie de ataque mientras llegan los parches.
Más información:
- “Stable Channel Update for Desktop” https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
