Se identificaron múltiples vulnerabilidades en ChromeOS. Un atacante remoto podría explotar algunas de estas vulnerabilidades para desencadenar la suplantación de identidad, el scripting entre sitios, la manipulación de datos, la ejecución remota de código, la omisión de restricciones de seguridad y la divulgación de información confidencial en el sistema objetivo.
Productos afectados
- ChromeOS en versiones anteriores a 132.0.6834.83
Impacto
- Ejecución remota de código
- Divulgación de información
- Omisión de restricciones de seguridad
- Manipulación de datos
- Secuencias de comandos entre sitios
- Spoofing
Las vulnerabilidades de severidad alta se identifican como:
- CVE-2025-0434: Puntuación CVSS 8.8.. El acceso a la memoria fuera de los límites permitiría a un atacante remoto explotar potencialmente la corrupción de la memoria heap a través de una página HTML manipulada.
- CVE-2025-0436: Puntuación CVSS 8.8. Vulnerabilidad de desbordamiento de enteros en Skia (biblioteca de gráficos 2D de código abierto). Debido a un fallo en Skia, cuando el valor excede el límite máximo de tipo entero debido a operaciones aritméticas, se produce un desbordamiento de entero. El atacante podría inducir a los usuarios a abrir una página HTML especialmente diseñada, lo que en última instancia conduce a la ejecución de código arbitrario en el sistema de destino.
- CVE-2025-0437: Puntuación CVSS 8.8.. La lectura fuera de límites en Métricas permitiría a un atacante remoto explotar potencialmente la corrupción de la memoria heap a través de una página HTML manipulada..
- CVE-2025-0438: Puntuación CVSS 8.8. El desbordamiento del búfer de pila permitiría a un actor malicioso remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.
- CVE-2025-0447: Puntuación CVSS 8.8. de Severidad alta. Una implementación inadecuada en Navigation en Google Chrome permitiría que un atacante remoto realice una escalada de privilegios a través de una página HTML manipulada.
Y dos vulnerabilidades de severidad media identificadas como:
- CVE-2025-0439 y CVE-2025-0442: Puntuación CVSS 6.5. permitiría a un atacante remoto que convenza a un usuario para que realice en gestos específicos de la interfaz de usuario, llevar a cabo suplantación de la interfaz de usuario a través de una página HTML manipulada.
Recomendación
Aplicar las actualizaciones y correcciones emitidas por el proveedor en las versiones afectadas. Para obtener más información, consulte el siguiente enlace:
- https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-chromeos.html
Referencias
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-chromeos.html
https://www.hkcert.org/security-bulletin/chromeos-multiple-vulnerabilities_20250120