Ayer miércoles, Google lanzó actualizaciones de seguridad para su navegador Chrome, corrigiendo tres vulnerabilidades, una de las cuales se ha estado explotando activamente.
Esta vulnerabilidad, considerada de alta gravedad, está registrada con el ID de seguimiento de Chromium «466192044«. A diferencia de otros casos anteriores, Google ha decidido mantener en secreto detalles como el identificador CVE, el componente afectado y la naturaleza del fallo.
Sin embargo, una confirmación en GitHub ha revelado que el problema radica en la biblioteca de código abierto Almost Native Graphics Layer Engine (ANGLE) de Google. Esta confirmación menciona: «Metal: No utilizar pixelsDepthPitch para ajustar el tamaño de los búferes».
Esto sugiere que el problema podría estar relacionado con una vulnerabilidad de desbordamiento de búfer en el renderizador Metal de ANGLE, causada por un tamaño de búfer incorrecto, lo que podría resultar en corrupción de memoria, fallos en el programa o ejecución de código arbitrario. «Google es consciente de la existencia de un exploit para 466192044», indicó la empresa, agregando que están coordinando más detalles al respecto.
Por supuesto, el gigante tecnológico no ha proporcionado información sobre la identidad del atacante, los posibles objetivos ni la escala de los ataques. Esto es habitual para asegurar que la mayoría de los usuarios apliquen las correcciones y evitar que otros atacantes realicen ingeniería inversa al parche y desarrollen sus propios exploits.
Con la última actualización, Google ha solucionado ocho vulnerabilidades de día cero en Chrome que han sido explotadas activamente o se han demostrado como prueba de concepto (PoC) desde principios de año. Esta lista incluye CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558, CVE-2025-10585 y CVE-2025-13223.
Además, Google ha corregido otras dos vulnerabilidades de gravedad media:
- CVE-2025-14372 – Uso posterior a la liberación en el Administrador de Contraseñas
- CVE-2025-14373 – Implementación incorrecta en la Barra de Herramientas
Estos errores fueron detectados utilizando herramientas como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer y AFL.
Se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones conforme estén disponibles.
Fuente:
THN
Con Información de blog.segu-info.com.ar