Google ha publicado una actualización crítica de seguridad para Chrome que corrige seis vulnerabilidades importantes, siendo la más preocupante la CVE-2025-6558 con una puntuación CVSS de 8.8, que ya está siendo explotada activamente por ciberdelincuentes para eludir las protecciones del navegador.
Análisis Técnico de la Vulnerabilidad CVE-2025-6558
La vulnerabilidad fue identificada por investigadores del Google Threat Analysis Group (TAG), Clément Lecigne y Vlad Stolyarov, quienes detectaron una validación insuficiente de entrada no confiable en los componentes ANGLE y GPU de Chrome en versiones anteriores a 138.0.7204.157.
Según la base de datos NIST NVD, esta falla permite a atacantes remotos ejecutar un escape del sandbox mediante una página HTML especialmente diseñada. Esto significa que simplemente visitar un sitio web malicioso podría otorgar a los atacantes acceso al sistema operativo subyacente, superando las barreras de seguridad del navegador.
Impacto del Componente ANGLE en la Seguridad
ANGLE (Almost Native Graphics Layer Engine) funciona como un motor gráfico de código abierto que actúa como capa intermedia entre el sistema de renderizado de Chrome y los controladores gráficos del hardware. Su función principal es traducir llamadas de OpenGL ES API a comandos compatibles con Direct3D, Metal, Vulkan y OpenGL.
La importancia crítica de ANGLE radica en que procesa comandos GPU desde fuentes potencialmente no confiables, incluyendo contenido WebGL de diversos sitios web. Las vulnerabilidades en este módulo crean una ruta directa para ataques dirigidos a eludir el aislamiento del navegador mediante operaciones GPU de bajo nivel.
Características del Ataque y Amenazas Potenciales
Google no ha divulgado detalles específicos sobre cómo se está explotando la CVE-2025-6558, limitándose a confirmar la existencia de un exploit funcional. Sin embargo, el hecho de que los investigadores pertenezcan al equipo TAG proporciona indicios importantes sobre la naturaleza de la amenaza.
El Google Threat Analysis Group se especializa en proteger contra grupos de hackers patrocinados por estados y amenazas persistentes avanzadas (APT). El equipo TAG regularmente descubre exploits zero-day utilizados para ataques dirigidos contra políticos, periodistas, defensores de derechos humanos y disidentes.
Vulnerabilidades Adicionales Corregidas
Además de la crítica CVE-2025-6558, la actualización de Chrome soluciona cinco vulnerabilidades adicionales significativas:
CVE-2025-7656 representa un problema grave en el motor JavaScript V8, que podría permitir la ejecución de código arbitrario mediante JavaScript especialmente crafteado.
CVE-2025-7657 es una vulnerabilidad de tipo use-after-free en el componente WebRTC, responsable de las comunicaciones web en tiempo real.
Medidas de Protección Recomendadas
Dado que la CVE-2025-6558 está siendo explotada activamente y presenta un alto nivel de amenaza, se recomienda encarecidamente a los usuarios de Chrome que actualicen inmediatamente a la versión 138.0.7204.157 o 138.0.7204.158, dependiendo del sistema operativo.
Este incidente subraya la importancia crítica de mantener los navegadores actualizados y demuestra cómo las tecnologías web modernas, como WebGL, pueden convertirse en vectores para ataques sofisticados. La actualización regular del software sigue siendo una de las estrategias más efectivas para protegerse contra la explotación de vulnerabilidades conocidas, especialmente cuando se trata de componentes que procesan contenido no confiable de internet. La implementación de políticas de actualización automática y la educación continua sobre ciberseguridad son fundamentales para mantener un entorno digital seguro.
