{"id":1718373,"date":"2025-05-15T07:45:32","date_gmt":"2025-05-15T07:45:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-vulnerabilidad-de-chrome-permite-la-fuga-de-datos-de-origen-cruzado-a-traves-de-la-politica-de-referencia-del-cargador\/"},"modified":"2025-05-15T07:45:37","modified_gmt":"2025-05-15T07:45:37","slug":"la-nueva-vulnerabilidad-de-chrome-permite-la-fuga-de-datos-de-origen-cruzado-a-traves-de-la-politica-de-referencia-del-cargador","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-vulnerabilidad-de-chrome-permite-la-fuga-de-datos-de-origen-cruzado-a-traves-de-la-politica-de-referencia-del-cargador\/","title":{"rendered":"La nueva vulnerabilidad de Chrome permite la fuga de datos de origen cruzado a trav\u00e9s de la pol\u00edtica de referencia del cargador"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad del navegador \/ seguridad web<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Google el mi\u00e9rcoles liberado<\/a> Actualizaciones para abordar cuatro problemas de seguridad en su navegador web Chrome, incluido uno para el cual dijo que existe una exploit en la naturaleza.<\/p>\n

La vulnerabilidad de alta severidad, rastreada como CVE-2025-4664<\/strong> (Puntuaci\u00f3n CVSS: 4.3), se ha caracterizado como un caso de aplicaci\u00f3n de pol\u00edticas insuficiente en un componente llamado cargador.<\/p>\n

“La aplicaci\u00f3n de pol\u00edticas insuficiente en el cargador en Google Chrome antes de 136.0.7103.113 permiti\u00f3 que un atacante remoto filtrara datos de origen cruzado a trav\u00e9s de una p\u00e1gina HTML dise\u00f1ada”, seg\u00fan un descripci\u00f3n<\/a> del defecto.<\/p>\n

El gigante tecnol\u00f3gico acredit\u00f3 al investigador de seguridad Vsevolod Kokorin (@slonser_) con el detalle de la falla en X el 5 de mayo de 2025, y agreg\u00f3 que es consciente de “Existe un exploit para CVE-2025-4664 en la naturaleza”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“A diferencia de otros navegadores, Chrome resuelve el encabezado de enlace en las solicitudes de subconocimiento”, Kokorin dicho<\/a> en una serie de publicaciones en X a principios de este mes. “El problema es que el encabezado de enlace puede establecer una pol\u00edtica de referente. Podemos especificar inseguro-url y capturar los par\u00e1metros de consulta completa”.<\/p>\n

El investigador luego agreg\u00f3 que los par\u00e1metros de consulta pueden contener datos confidenciales que pueden conducir a una toma de cuenta completa y que la informaci\u00f3n de los par\u00e1metros de consulta puede ser robado a trav\u00e9s de una imagen de un recurso de terceros.<\/p>\n

No est\u00e1 claro si la vulnerabilidad fue explotada en un contexto malicioso fuera de esta demostraci\u00f3n de prueba de concepto (POC). CVE-2025-4664 es la segunda vulnerabilidad despu\u00e9s de que CVE-2025-2783 ha estado bajo “explotaci\u00f3n activa” en la naturaleza.<\/p>\n

Para salvaguardar contra posibles amenazas, se recomienda actualizar su navegador Chrome a las versiones 136.0.7103.113\/.114 para Windows y Mac, y 136.0.7103.113 para Linux. Tambi\u00e9n se recomienda a los usuarios de otros navegadores basados \u200b\u200ben el cromo como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las soluciones cuando est\u00e9n disponibles. <\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n