La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha incorporado la vulnerabilidad CVE-2025-4664 a su listado de fallos de seguridad que están siendo explotados activamente.
Este problema de alta criticidad en Google Chromium radica en la inadecuada implementación de políticas de seguridad en el componente Loader. Dicha deficiencia permite a actores maliciosos remotos sustraer información de diferentes orígenes a través de la manipulación de páginas HTML. La explotación activa de esta vulnerabilidad representa un riesgo significativo para la comunidad de usuarios a nivel global.
Es importante destacar que esta vulnerabilidad impacta a Google Chromium, la plataforma subyacente de navegadores ampliamente utilizados como Google Chrome, Microsoft Edge y Opera.
CISA insta a los usuarios a seguir las instrucciones del parche de Google, actualizando a las últimas versiones de Chrome: 136.0.7103.113/.114 para Windows y Mac, y 136.0.7103.113 para Linux.
Si los parches no están disponibles, considere suspender su uso y seguir la guía BOD 22-01 para servicios en la nube. La fecha límite para las mitigaciones es el 5 de junio de 2025.
El análisis cubre la naturaleza, el impacto, las estrategias de mitigación y los detalles contextuales de la vulnerabilidad, con el objetivo de informar a los usuarios y organizaciones sobre los riesgos y las acciones necesarias.
CVE-2025-4664 está clasificada como una vulnerabilidad de aplicación de políticas insuficiente en el componente Chromium Loader. Esta falla permite que un atacante remoto filtre datos de orígenes cruzados a través de una página HTML diseñada, eludiendo las políticas de seguridad. Está relacionado con CWE-346, lo que indica una categoría más amplia de cuestiones de aplicación de políticas.
La vulnerabilidad se debe a un identificador incorrecto proporcionado en circunstancias no especificadas en la capa de comunicación entre procesos (IPC) Mojo de Chrome, lo que podría provocar la ejecución de código no autorizado o el escape del entorno de pruebas.
La vulnerabilidad plantea riesgos importantes, incluida la fuga de datos no autorizada a través de orígenes web, lo que podría comprometer la privacidad y la seguridad del usuario.
Dada su clasificación como falla de día cero, fue explotada antes de que Google lanzara el parche, lo que aumentó la urgencia de mitigarlo.
Si bien se desconoce el uso específico en las campañas de ransomware, la explotación activa sugiere la posibilidad de que se produzcan impactos graves, como la escalada de privilegios o la corrupción de la memoria en la arquitectura multiproceso de Chrome.
Google respondió implementando una actualización de Stable Channel para Chrome el 15 de mayo de 2025, abordando la vulnerabilidad en todas las plataformas de escritorio (Windows, Mac y Linux). Se recomienda a los usuarios actualizar a las siguientes versiones:
- Windows y Mac: 136.0.7103.113/.114
- Linux: 136.0.7103.113
CISA recomienda aplicar mitigaciones según las instrucciones del proveedor, seguir la guía BOD 22-01 aplicable para servicios en la nube o suspender el uso del producto si las mitigaciones no están disponibles.
La fecha límite para estas acciones es el 5 de junio de 2025, lo que proporciona un período de aproximadamente tres semanas a partir de la fecha de incorporación al catálogo de KEV.
Se recomienda encarecidamente a los usuarios y administradores que:
- Actualice inmediatamente Google Chrome a las últimas versiones estables del canal para mitigar la vulnerabilidad.
- Supervise los sistemas en busca de signos de compromiso, especialmente dada la explotación activa.
- Siga las pautas de CISA, incluido BOD 22-01 para proveedores de servicios en la nube, para garantizar una gestión integral de las vulnerabilidades.
- Manténgase informado a través de canales oficiales, como CISA Catalog y Google Release Blog, para obtener actualizaciones sobre avisos de seguridad.
En el ámbito organizacional, la adopción de sistemas automatizados de gestión de parches se presenta como una estrategia eficaz para optimizar los tiempos de respuesta ante vulnerabilidades y disminuir el periodo de exposición a las mismas. Adicionalmente, se aconseja la realización de evaluaciones de seguridad de forma periódica, así como la instrucción de los usuarios en prácticas de navegación seguras, con el objetivo de mitigar los riesgos asociados.
