Chrome ha solucionado este error, pero la CISA advierte que sigue siendo explotado activamente.
CISA lo incluyó en la lista de vulnerabilidades conocidas, otorgando a las agencias del FCEB un plazo de tres semanas para aplicar las actualizaciones necesarias.
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha añadido recientemente una nueva vulnerabilidad en Google Chrome a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), lo que indica que está siendo utilizada de manera maliciosa. Esta situación otorga a las agencias del Poder Ejecutivo Civil Federal (FCEB) un plazo para actualizar el navegador.
La vulnerabilidad, identificada como CVE-2025-4664, fue detectada por investigadores de la firma Solidlab y se caracteriza como una "insuficiente aplicación de políticas en Loader de Google Chrome". De acuerdo con la información disponible, esta brecha permitía a atacantes remotos filtrar datos entre orígenes a través de una página HTML creada específicamente. Según el investigador Vsevolod Kokorin, quien participó en el descubrimiento, los parámetros de consulta pueden contener información sensible, lo que podría facilitar el robo de cuentas en ciertos procesos como el flujo de OAuth. Además, resaltó que los desarrolladores a menudo no consideran el riesgo asociado con robar parámetros de consulta a través de imágenes de recursos de terceros.
La vulnerabilidad fue detectada inicialmente el 5 de mayo, y Google lanzó una solución el 14 de mayo. Aunque la empresa no detalló si esta vulnerabilidad estaba siendo utilizada en ataques concretos, sí mencionó que había un exploit público relacionado. Con la inclusión de esta vulnerabilidad en el catálogo de CISA, las agencias FCEB tienen hasta el 5 de junio para actualizar sus versiones de Chrome o dejar de utilizar el navegador. Las versiones seguras disponibles son la 136.0.7103.113 para Windows/Linux y la 136.0.7103.114 para macOS. En muchos casos, Chrome actualizará automáticamente, pero es aconsejable verificar la versión que se está utilizando.
CISA advirtió que este tipo de vulnerabilidades son un vector de ataque común para los actores maliciosos y representan riesgos significativos para las agencias federales. El navegador web es uno de los programas más frecuentemente atacados, ya que maneja datos no confiables de múltiples fuentes en línea. Los cibercriminales están constantemente buscando debilidades en el código del navegador, en complementos o en sitios web mal asegurados, con el objetivo de obtener credenciales de inicio de sesión o comprometer redes más amplias.
