Google i Mozilla van anunciar el dimarts actualitzacions de seguretat per a Chrome 135 i Firefox 137 que aborden vulnerabilitats crítiques i d’alta gravetat potencialment explotables.
Anàlisi
- Google Chrome
Es van llançar les versions 135.0.7049.95/.96 de Chrome per a Windows i macOS i la versió 135.0.7049.95 per a Linux amb correccions per a dos vulnerabilitats de seguretat de memòria informades per investigadors externs.
La primera, identificada com CVE-2025-3619, es descriu com un problema crític de desbordament de memòria de pila en còdecs. La segona és CVE-2025-3620, un error d’ús després de l’alliberament en USB.
Si bé Google no ha compartit detalls específics sobre cap de les vulnerabilitats, les dos podrien ser explotades per atacants amb coneixement de patrons d’assignació de memòria per a executar codi arbitrari, generalment convencent a un usuari de visitar una pàgina web dissenyada específicament per a això.
- Mozilla Firefox
Firefox es va actualitzar a la versió 137.0.2 en tots els sistemes operatius per a resoldre CVE-2025-3608,
una condició de carrera d’alta gravetat en nsHttpTransaction, el component que maneja les transaccions HTTP.
Segons Mozilla, el defecte de seguretat podria haver sigut explotat per a causar corrupció en la memòria, la qual cosa podria haver obert la porta a una major explotació.
- Mozilla Thunderbird y Thunderbird ESR
Dimarts, Mozilla també va anunciar el llançament de Thunderbird 137.0.2 i Thunderbird ESR 128.9.2 amb correccions per a dos vulnerabilitats d’alta gravetat i una vulnerabilitat de gravetat mitjana.
Les vulnerabilitats d’alta gravetat, identificades com CVE-2025-3522 i CVE-2025-2830, són vulnerabilitats de divulgació d’informació que podrien provocar que s’exposen credencials de Windows xifrades o una llista de directori de /tmp.
La vulnerabilitat CVE-2025-3522 consistix en el fet que, en manejar arxius adjunts allotjats externament, l’URL al qual Thunderbird accedix per a determinar la grandària de l’arxiu adjunt no està validat ni desinfectat i podria fer referència a recursos interns.
CVE-2025-2830 es pot explotar a través de noms d’arxius mal formats per a adjunts en missatges multicomunicats per a enganyar el client de correu electrònic perquè incloga una llista de directori /tmp quan un missatge s’edita com un missatge nou o es reenvia.
Recursos afectats
- Google Chrome en versions anteriors a la 135.0.7049.95/.96 en Windows i macOS i 135.0.7049.95 per a Linux.
- Mozilla Firefox en versions anteriors a la 137.0.2.
- Mozilla Thunderbird en versions anteriors a la 137.0.2.
- Mozilla Thunderbird ESR en versions anteriors a la 128.9.2.
Recomanacions
Ni Google ni Mozilla esmenten que estes vulnerabilitats s’estiguen explotant indiscriminadament. No obstant això, es recomana als usuaris instal·lar les actualitzacions al més prompte possible:
- Google Chrome 135.0.7049.95/.96 per a Windows i macOS i 135.0.7049.95 per a Linux.
- Mozilla Firefox 137.0.2.
- Mozilla Thunderbird 137.0.2.
- Mozilla Thunderbird ESR 128.9.2.
Referències