Google ha publicado actualizaciones de seguridad para abordar una vulnerabilidad en su navegador Chrome para la cual existe un exploit en la naturaleza.
La vulnerabilidad del día cero, rastreada como CVE-2025-6554 (puntaje CVSS: N/A), se ha descrito como un defecto de tipo confuso en el motor V8 JavaScript y WebAssembly.
«Escriba la confusión en V8 en Google Chrome antes de 138.0.7204.96 permitió a un atacante remoto realizar lectura/escritura arbitrarias a través de una página HTML diseñada», según una descripción del error en la base de datos de vulnerabilidad nacional de la NIST (NVD).
Los tipos de vulnerabilidades de confusión pueden tener consecuencias severas, ya que pueden explotarse para desencadenar un comportamiento inesperado del software, lo que resulta en la ejecución de bloqueos arbitrarios y bloqueos del programa.
Los errores de día cero como este son especialmente riesgosos porque los atacantes a menudo comienzan a usarlos antes de que esté disponible una solución. En los ataques del mundo real, estos defectos pueden permitir a los piratas informáticos instalar spyware, lanzar descargas de transmisión o ejecutar un código dañino en silencio, a veces solo por hacer que alguien abra un sitio web malicioso.
Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google ha sido acreditado por descubrir e informar el defecto el 25 de junio de 2025, lo que indica que puede haber sido armado en ataques altamente específicos, posiblemente involucrando actores de estado nación o operaciones de vigilancia. La etiqueta típicamente detecta e investiga amenazas serias como ataques respaldados por el gobierno.
El gigante tecnológico también señaló que el problema fue mitigado al día siguiente mediante un cambio de configuración que se empujó al canal estable en todas las plataformas. Para los usuarios cotidianos, eso significa que la amenaza puede no estar muy extendida todavía, pero aún es urgente parchar, especialmente si se encuentra en roles que manejan datos confidenciales o de alto valor.
Google no ha publicado ningún detalle adicional sobre la vulnerabilidad y quién la ha explotado, sino que reconoció que «una exploit para CVE-2025-6554 existe en la naturaleza».
CVE-2025-6554 es la cuarta vulnerabilidad de día cero en Chrome que va a abordar desde el comienzo del año posterior a CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419. Sin embargo, es importante señalar que no hay claridad sobre si CVE-2025-4664 ha sido abusado en un contexto malicioso.
Para salvaguardar contra posibles amenazas, se recomienda actualizar su navegador Chrome a las versiones 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para MacOS y 138.0.7204.96 para Linux.
Si no está seguro de si su navegador está actualizado, vaya a Configuración> Ayuda> Acerca de Google Chrome: debe activar la última actualización automáticamente. Para las empresas y los equipos de TI que administran múltiples puntos finales, habilitar la gestión automática de parches y el cumplimiento de la versión del navegador de monitoreo es fundamental.
También se recomienda a los usuarios de otros navegadores basados en el cromo como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las soluciones cuando estén disponibles.