Vulnerabilidad crítica en Chrome: CVE-2025-4664 está siendo explotada activamente

bitlocker
La actualización KB5058379 de Windows 10 desencadena la pantalla de recuperación de BitLocker en algunos sistemas
22 de mayo de 2025
Linux kernel SMB 0-Day Vulnerability Uncovered Using ChatGPT
Descubren Vulnerabilidad 0-Day en el Kernel de Linux con Ayuda de ChatGPT
26 de mayo de 2025
Ver todo

Google ha lanzado un parche urgente para corregir la vulnerabilidad CVE-2025-4664, una falla crítica que afecta al navegador Chrome y que ya está siendo explotada activamente en campañas maliciosas, según confirmó la CISA (Cybersecurity and Infrastructure Security Agency) al incluirla en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

Detalles técnicos de la vulnerabilidad

El fallo se encuentra en el componente Loader de Chrome, y está relacionado con una implementación deficiente de las políticas de seguridad. Esta debilidad permite el filtrado de datos entre orígenes cruzados, facilitando la exfiltración de información sensible o incluso el secuestro de sesiones y cuentas, especialmente en flujos de autenticación como OAuth.

La explotación se produce mediante una página HTML manipulada, que abusa del manejo de la cabecera Link y la política referrer-policy. Si el usuario visita la página maliciosa, el navegador puede enviar datos confidenciales —como tokens de sesión o parámetros de autenticación— a dominios no autorizados.

Versiones afectadas y alcance

Chrome es vulnerable en todas sus plataformas (Windows, macOS y Linux) en versiones anteriores a la 136.0.7103.113/.114. La interacción del usuario es necesaria, pero las técnicas comunes de ingeniería social (como correos de phishing o anuncios maliciosos) reducen significativamente esta barrera.

Confirmación de explotación

Inicialmente, Google solo había reconocido la existencia del fallo. Sin embargo, la inclusión en el KEV por parte de CISA indica que el exploit ya está siendo utilizado en escenarios reales, lo que eleva la criticidad de esta vulnerabilidad a nivel global.

Mitigación y recomendaciones

La CISA ha establecido el 5 de julio de 2025 como fecha límite para que las agencias federales de EE.UU. apliquen las mitigaciones correspondientes. Pero esta recomendación se extiende a todas las organizaciones y usuarios, dado el riesgo potencial.

Pasos recomendados:

  • Actualizar inmediatamente a la última versión de Chrome (v136.0.7103.113 o superior).
  • Cerrar y reiniciar el navegador después de actualizar para asegurar que el parche se aplique correctamente.
  • Evitar hacer clic en enlaces sospechosos o acceder a sitios no verificados, especialmente desde correos electrónicos o redes sociales.

Chrome no es el único afectado: Microsoft Edge ya ha recibido una corrección, y se espera que otros navegadores basados en Chromium, como Brave y Opera, publiquen actualizaciones en breve.

Fuentes consultadas:

Artículos relacionados

5 de junio de 2025

Una década de riesgo: vulnerabilidad crítica en Roundcube permite ejecución remota de código tras autenticación

Leer más
AEPD
4 de junio de 2025

Reconocimiento facial en exámenes online: Protección de Datos lo prohíbe por falta de base legal

Leer más
30 de mayo de 2025

Falla crítica en Fortinet (CVE-2025-32756): desbordamiento de pila explotado activamente

Leer más
30 de mayo de 2025

Vulnerabilidad en Oracle TNS expone datos sensibles desde la memoria del sistema

Leer más
Ayuntamiento de Castroverde
29 de mayo de 2025

Caso BEC en Castroverde de Campos: Ayuntamiento pierde 7.000 euros por compromiso de correo electrónico

Leer más
hacking adidas
29 de mayo de 2025

Hackeo a Adidas España: Exposición de datos personales tras brecha en proveedor externo

Leer más