La Agencia de Ciberseguridad e Infraestructuras de EE. UU. (CISA) ha incorporado a su catálogo de Known Exploited Vulnerabilities (KEV) una vulnerabilidad zero-day crítica que afecta a Google Chromium, motor utilizado por navegadores como Google Chrome, Microsoft Edge, Brave, Opera o Vivaldi.
Detalles técnicos de la vulnerabilidad
- Identificador: CVE-2025-14174
- Componente afectado: ANGLE (Almost Native Graphics Layer Engine), capa gráfica basada en OpenGL ES
- Tipo de fallo: acceso a memoria out-of-bounds debido a una validación incorrecta de límites
- Vector de ataque: carga de una página web HTML maliciosa
- Impacto potencial:
- Corrupción de memoria
- Ejecución remota de código
- Posible evasión parcial del sandbox del navegador en determinados escenarios
Un atacante puede explotar esta vulnerabilidad simplemente induciendo a la víctima a visitar una página web especialmente diseñada, sin necesidad de interacción adicional.
Sistemas y software afectados
Navegadores basados en Chromium:
- Google Chrome
- Microsoft Edge
- Brave
- Opera
- Vivaldi
Sistemas operativos:
- Windows
- macOS
- Linux
- Android
Riesgos para usuarios y organizaciones
- Compromiso del sistema afectado
- Robo de información sensible
- Instalación de malware
- Uso como vector inicial en ataques más complejos o campañas dirigidas
Recomendaciones urgentes
- Actualizar de inmediato todos los navegadores basados en Chromium a la última versión disponible.
- Comprobar que las actualizaciones automáticas están activadas.
- Evitar acceder a enlaces o sitios web de origen desconocido o no confiable.
- En entornos corporativos:
- Priorizar el parcheo de navegadores
- Monitorizar posibles indicadores de compromiso
- Revisar políticas de navegación segura y aislamiento del navegador
Fuentes oficiales
- Avisos de seguridad de Google Chromium
- Registro CVE-2025-14174 (MITRE / NVD)
Desde el Portal de Ciberseguridad de Galicia se recomienda actuar con máxima urgencia ante esta amenaza activa.
