- El equipo TAG de Google ha descubierto recientemente un error de alta gravedad en la versión V8 de Chrome
- El error permite a los autores de amenazas ejecutar código arbitrario en puntos finales
- Se está explotando activamente
Google solucionó una vulnerabilidad de Chrome de alta gravedad que supuestamente fue explotada en la naturaleza, posiblemente por delincuentes de ciertos países sospechosos.
Recientemente, el gigante de los navegadores ha publicado un nuevo boletín de seguridad en el que afirma haber solucionado un problema de confusión de tipos en V8. Rastreado como CVE-2025-6554, el fallo permitía a los actores de amenazas realizar operaciones arbitrarias de lectura/escritura, dando paso potencialmente al robo de datos sensibles, la exfiltración de tokens o incluso el despliegue de malware y ransomware.
El motor V8 es el motor JavaScript y WebAssembly de código abierto y alto rendimiento de Google utilizado en Chrome y otros navegadores basados en Chromium para ejecutar código web de forma eficiente. El fallo hacía que V8 interpretara incorrectamente los datos, lo que provocaba un comportamiento no deseado. En teoría, un actor de amenazas podría servir una página HTML especialmente diseñada a un objetivo, lo que podría desencadenar el RCE.
El fallo recibió una puntuación de gravedad de 8,1/10 - alta, y fue corregido en las versiones 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS, y 138.0.7204.96 para Linux, el 26 de junio.
Estados-nación y otros adversarios
En el aviso, Google confirmó que se estaba abusando activamente del fallo, pero decidió no compartir ningún detalle hasta que la mayoría de los navegadores estuvieran parcheados. Por lo general, Chrome instala automáticamente los parches, pero por si acaso, es posible que desee dirigirse a chrome://settings/help y permitir que Chrome busque actualizaciones.
Aunque Google ha mantenido los detalles en secreto, saber quién ha dado el soplo nos dice algo más sobre los posibles abusadores. El fallo fue descubierto por Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, una rama de ciberseguridad que suele investigar a los actores de amenazas de estados-nación.
Si TAG estaba investigando este fallo, y sabemos que se abusa de él en la naturaleza, entonces es seguro asumir que fue utilizado por estados-nación en ataques altamente dirigidos. Según Infosecurity Magazine, en el pasado se abusó de los fallos V8 en campañas contra objetivos de alto perfil, como periodistas, disidentes, administradores de TI y personas similares.
Fuente: Infosecurity Magazine
