Ayer miércoles, Google publicó actualizaciones de seguridad para su navegador Chrome para corregir tres fallos de seguridad, incluyendo uno que, según afirma, se ha explotado activamente.
La vulnerabilidad, de alta gravedad, se rastrea con el ID de seguimiento de problemas de Chromium "466192044". A diferencia de otras divulgaciones, Google ha optado por mantener en secreto la información sobre el identificador CVE, el componente afectado y la naturaleza del fallo.
Sin embargo, una confirmación de GitHub para el ID de error de Chromium ha revelado que el problema reside en la biblioteca de código abierto Almost Native Graphics Layer Engine (ANGLE) de Google. El mensaje de confirmación indica: "Metal: No usar pixelsDepthPitch para ajustar el tamaño de los búferes".
Esto indica que es probable que el problema se deba a una vulnerabilidad de desbordamiento de búfer en el renderizador Metal de ANGLE, provocada por un tamaño de búfer incorrecto, lo que podría provocar corrupción de memoria, fallos del programa o ejecución de código arbitrario. "Google tiene conocimiento de la existencia de un exploit para 466192044", señaló la compañía, añadiendo que se están coordinando más detalles.
Naturalmente, el gigante tecnológico no ha revelado detalles sobre la identidad del atacante responsable de los ataques, quién podría haber sido el objetivo, ni la magnitud de dichos esfuerzos. Esto se hace normalmente para garantizar que la mayoría de los usuarios hayan aplicado las correcciones y evitar que otros atacantes apliquen ingeniería inversa al parche y desarrollen sus propios exploits.
Con la última actualización, Google ha abordado ocho vulnerabilidades de día cero en Chrome que se han explotado activamente o se han demostrado como prueba de concepto (PoC) desde principios de año. La lista incluye CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558, CVE-2025-10585 y CVE-2025-13223.
Google también ha abordado otras dos vulnerabilidades de gravedad media:
- CVE-2025-14372 - Uso posterior a la liberación en el Administrador de Contraseñas
- CVE-2025-14373 - Implementación incorrecta en la Barra de Herramientas
Estos errores fueron detectados utilizando herramientas como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, o AFL.
También se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.
Fuente: THN
Vía
http://blog.segu-info.com.ar/2025/12/otro-zero-day-critico-en-chrome-siendo.html
No hay comentarios:
Publicar un comentario