Escape del sandbox: Google cierra urgentemente una brecha de seguridad en Chrome

Google lanzó una actualización de emergencia para el navegador Chrome, corrigiendo seis vulnerabilidades, una de las cuales ya está siendo activamente explotada en ataques reales. El problema afecta a componentes críticos relacionados con el motor gráfico del navegador y puede permitir la salida del sandbox, un mecanismo de protección que aísla los procesos de Chrome del resto del sistema.

La vulnerabilidad más grave corregida fue CVE-2025-6558, con una puntuación de 8.8 en la escala CVSS. Esta se refiere al manejo incorrecto de datos no confiables en los componentes ANGLE y GPU. ANGLE, o Almost Native Graphics Layer Engine, actúa como una capa intermedia entre el navegador y los controladores del hardware gráfico. A través de esta, una página web maliciosa puede iniciar lo que se conoce como una "fuga del sandbox" y comunicarse con el resto del sistema a bajo nivel.

Este método es especialmente peligroso en ataques dirigidos — basta con abrir una página para que se produzca una infección discreta, sin necesidad de hacer clics ni descargar archivos. Los desarrolladores de Google señalaron que ya se está utilizando un exploit para esta vulnerabilidad en ataques reales, aunque no se revelan detalles ni objetivos específicos. El descubrimiento del problema fue realizado por especialistas del Threat Analysis Group — Clément Lecigne y Vlad Stolyarov, quienes informaron de la vulnerabilidad el 23 de junio de 2025.

El hecho de que esta vulnerabilidad esté siendo utilizada en ataques reales y haya sido descubierta por un equipo que se ocupa de amenazas de nivel estatal sugiere una posible implicación de estructuras cibernéticas nacionales.

La actualización de Chrome corrige otras cinco vulnerabilidades, incluida CVE-2025-6554, también descubierta por Lecigne el 25 de junio. Este es ya el quinto caso en el año en el que Google corrige vulnerabilidades que están siendo explotadas activamente o han sido demostradas como prueba de concepto. La lista también incluye CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419.

Para proteger a los usuarios, se recomienda actualizar Chrome a la versión 138.0.7204.157 o 138.0.7204.158 para Windows y macOS, y a la versión 138.0.7204.157 para Linux. La instalación de la última versión se realiza a través de la sección "Acerca del navegador" en la configuración. Los usuarios de navegadores basados en Chromium —como Edge, Brave, Opera y Vivaldi— también deben estar atentos a la disponibilidad de actualizaciones.

Las vulnerabilidades relacionadas con los componentes gráficos y los mecanismos de aislamiento de procesos no siempre se convierten en noticia, pero a menudo se utilizan en cadenas de ataques. Es especialmente importante prestar atención a los métodos de evasión de límites de privilegios, errores en GPU y WebGL, así como daños en la memoria durante el renderizado —estas áreas suelen ser la base de las próximas vulnerabilidades críticas.