Resumen ejecutivo
Se ha detectado una vulnerabilidad 0-day, activamente explotada, en el componente Loader de Google Chrome (versiones anteriores a la 136.0.7103.113). Esta vulnerabilidad permite a un atacante remoto filtrar datos de origen cruzado a través de una página HTML manipulada, debido a una implementación inadecuada de políticas de seguridad. Aunque la puntuación CVSS (4.3) la clasifica como de riesgo medio, la explotación activa y su naturaleza de 0-day incrementan considerablemente el impacto y la urgencia de aplicar medidas de mitigación inmediatas. La explotación exitosa podría resultar en la exposición de información sensible y comprometer la privacidad de los usuarios.
Recursos afectados
- Google Chrome (versiones anteriores a la 136.0.7103.113)
Análisis técnico
- CVE-2025-4664: La aplicación insuficiente de políticas en Loader en Google Chrome anterior a la versión 136.0.7103.113 permitió que un atacante remoto filtrara datos de origen cruzado mediante una página HTML manipulada. (Severidad de seguridad de Chromium: Alta)
- CWE N/A
- CVSS: 4.3 (media)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
- Explotación: Detectada
Mitigación / Solución
Se recomienda actualizar inmediatamente Google Chrome a la versión 136.0.7103.113 o superior en todos los sistemas y dispositivos afectados. Si la actualización no puede aplicarse de forma inmediata, limitar el uso de Chrome únicamente a sitios web de total confianza y evitar abrir enlaces o documentos de fuentes no verificadas. Adicionalmente, monitorizar posibles indicios de explotación, revisar las configuraciones de seguridad recomendadas por el fabricante, y seguir las directrices del aviso oficial de Google, así como la guía BOD 22-01 para servicios cloud. En entornos especialmente críticos donde no se puedan aplicar estas mitigaciones, considerar suspender temporalmente el uso del producto afectado hasta que la actualización de seguridad esté disponible. Para información y parches oficiales, consultar: Google Chrome Release Updates.