Google ha lanzado una actualización de emergencia para su navegador Chrome en respuesta a una vulnerabilidad crítica (CVE-2025-4664) que podría permitir a atacantes comprometer cuentas de usuario. Esta falla de seguridad, descubierta recientemente, afecta al manejo de solicitudes cross-origin y representa un riesgo significativo para la privacidad de los datos de autenticación.
Análisis Técnico de la Vulnerabilidad
La vulnerabilidad, identificada por el investigador Vsevolod Kokorin de Solidlab, reside en el componente Loader de Chrome. El problema surge de una implementación incorrecta en el procesamiento del encabezado Link durante las solicitudes de subrecursos. Los atacantes pueden explotar esta debilidad manipulando el parámetro referrer-policy con el valor unsafe-url, permitiendo la interceptación de datos sensibles en los parámetros de las URL.
Implicaciones para la Seguridad de OAuth
La vulnerabilidad presenta un riesgo particular en sistemas que implementan autenticación OAuth. Los atacantes podrían capturar tokens de autenticación y otros datos sensibles mediante la carga de imágenes maliciosas desde recursos externos. Esta técnica de ataque resulta especialmente efectiva debido a que muchos desarrolladores no consideran la posibilidad de fuga de datos a través de la carga de recursos externos.
Solución y Medidas de Mitigación
Google ha distribuido parches de seguridad en las versiones Chrome 136.0.7103.113 (Windows/Linux) y 136.0.7103.114 (macOS). Aunque no se han reportado explotaciones activas, la existencia de un exploit público aumenta significativamente el riesgo para sistemas no actualizados. Los usuarios deben verificar su versión actual accediendo a Configuración > Acerca de Chrome.
Para garantizar la protección contra esta y futuras vulnerabilidades, se recomienda encarecidamente mantener el navegador actualizado y habilitar las actualizaciones automáticas. Los administradores de sistemas deben revisar sus implementaciones de OAuth y asegurarse de que sus aplicaciones web implementen políticas de seguridad adecuadas para prevenir la exfiltración de datos sensibles a través de recursos externos. La actualización inmediata del navegador es crucial para mantener la integridad de las cuentas de usuario y prevenir posibles compromisos de seguridad.
