Google ha lanzado una actualización de seguridad de emergencia para el navegador Chrome que aborda una vulnerabilidad crítica “gratuita” en la función de aislamiento del sitio del navegador.
Una vulnerabilidad de alta resistencia rastreada como CVE-2025-3066 permite a un atacante ejecutar código arbitrario en el sistema afectado, lo que le permite controlar completamente el dispositivo potencial de la víctima.
Uso de Chrome después de vulnerabilidades gratuitas
La vulnerabilidad rastreada como CVE-2025-3066 proviene de una falla de gestión de memoria conocida como el error “After After Free” (UAF) en la función de aislamiento del sitio de Chrome.
El aislamiento del sitio es un mecanismo de seguridad introducido para mitigar los ataques de canales laterales como Spectre asegurando que los sitios web se renderizan en procesos separados.
Si un programa continúa utilizando ubicaciones de memoria después de su liberación, creará un escenario en el que se puede usar después de que ocurra una vulnerabilidad libre para permitir que un atacante manipule el contenido de esa memoria liberada.
La seguridad de la aplicación ya no es un juego defensivo, es tiempo seguro -> Seminario web gratuito
En un escenario de explotación típico, un atacante podría destruir la memoria y ejecutar código malicioso.
En el caso de CVE-2025-3066, un error de la UAF en el aislamiento del sitio permite a los atacantes escapar de las cajas de arena que contienen contenido web dentro de sus propios procesos.
Esto podría permitir que un atacante ejecute código utilizando los privilegios del proceso del navegador Chrome.
El investigador de seguridad Sven Dysthe (@SVN-DYS) informó la vulnerabilidad el 21 de marzo de 2025. Google otorgó a los investigadores un premio de $ 4,000 para descubrir e informar este impactante problema de seguridad.
Similar a las prácticas estándar con vulnerabilidades estrictas, Google está restringiendo el acceso a detalles técnicos completos hasta que la mayoría de los usuarios se actualicen con parches de seguridad.
A continuación se muestra una descripción general de la vulnerabilidad:
Los factores de riesgo usan Chrome Chrome, un producto que anteriormente era 135.0.7049.84/.85 para Windows y Mac, y antes de 135.0.7049.84/.85 antes de 135.0.7049.84/.85 para LinuximpacTremote Code Execution (RCE) Exploit Preceisite Suser.
Los expertos en seguridad han demostrado que es probable que el éxito de explotar esta vulnerabilidad comience con una página web especialmente escrita que contiene código JavaScript diseñado para causar corrupción de memoria.
Cuando una víctima visita dicha página, el código malicioso puede manipular el área de memoria liberada, lo que lleva a la ejecución del código arbitrario.
Los atacantes pueden usar esto para instalar malware, robar información confidencial y establecer acceso permanente a los sistemas afectados.
alivio
Google actualmente está abordando vulnerabilidades en Chrome versión 135.0.7049.84/.85 para Windows y Mac y 135.0.7049.84 en Linux.
Las actualizaciones se implementarán gradualmente en los próximos días y semanas. Los usuarios de Chrome pueden consultar la versión de su navegador y actualizar su estado navegando a “Chrome: // Configuración/Ayuda” en la barra de direcciones.
Los expertos en seguridad recomiendan encarecidamente que todos los usuarios de Chrome actualicen sus navegadores a la última versión de inmediato. Las organizaciones deben priorizar esta actualización, particularmente para los sistemas que procesan información confidencial y aumentan los privilegios.
Investigue los enlaces maliciosos del mundo real y los ataques de phishing con búsqueda de inteligencia de amenazas: pruebe 50 solicitudes gratuitas
