A Axencia de Ciberseguridade e Infraestruturas dos Estados Unidos (CISA) incorporou ao seu catálogo de Known Exploited Vulnerabilities (KEV) unha vulnerabilidade zero-day crítica que afecta ao motor Google Chromium, base de navegadores como Google Chrome, Microsoft Edge, Brave, Opera ou Vivaldi.
Detalles técnicos da vulnerabilidade
- Identificador: CVE-2025-14174
- Compoñente afectado: ANGLE (Almost Native Graphics Layer Engine), capa de tradución gráfica baseada en OpenGL ES
- Tipo de fallo: acceso a memoria out-of-bounds por comprobación incorrecta de límites
- Vector de ataque: páxina web HTML maliciosa
- Impacto:
- Corrupción de memoria
- Posible execución remota de código
- Posible evasión parcial do sandbox do navegador en determinados escenarios
Un atacante pode explotar esta vulnerabilidade inducindo á vítima a visitar unha páxina web especialmente deseñada, sen necesidade de interacción adicional.
Sistemas potencialmente afectados
Navegadores baseados en Chromium en:
- Windows
- macOS
- Linux
- Android
Riscos para a cidadanía e organizacións
- Compromiso do equipo do usuario
- Roubo de información sensible
- Instalación de malware
- Uso como vector inicial en campañas máis amplas de ataque
Recomendacións urxentes
- Actualizar inmediatamente todos os navegadores baseados en Chromium á última versión dispoñible.
- Verificar que as actualizacións automáticas están activadas.
- Evitar a navegación por ligazóns descoñecidas ou non verificadas.
- En contornos corporativos:
- Priorizar o parcheo
- Monitorizar posibles indicadores de compromiso
- Revisar políticas de navegación e illamento
Información oficial de referencia
- Información de seguridade de Google Chromium
- CVE-2025-14174 (NVD / MITRE)
Desde o Portal de Ciberseguridade de Galicia recoméndase actuar con máxima dilixencia ante esta ameaza activa.
