Posted on by Seguridad CSIRT-CV

Actualitzacions de Chrome i Firefox

Google i Mozilla han llançat actualitzacions que corregixen quatre errors de memòria d’alta gravetat en Chrome i Firefox.

Anàlisi

Google Chrome 137

    • CVE-2025-5958: vulnerabilitat de tipus use-after-free en el component Mitjana. Pot ser aprofitada per a executar codi arbitrari o causar corrupció de memòria.
    • CVE-2025-5959: vulnerabilitat de confusió de tipus en el motor V8 de JavaScript. Podria permetre l’execució remota de codi o filtració d’informació sensible. Google encara no ha determinat la recompensa corresponent.

Mozilla Firefox 139

    • CVE-2025-49709: error de corrupció de memòria en el component Canvas Surfaces. Pot ser explotat per a executar codi no autoritzat o provocar caigudes del navegador.
    • CVE-2025-49710: desbordament d’enter en l’estructura OrderedHashTable utilitzada pel motor JavaScript. Esta fallada podria facilitar l’execució de codi maliciós o la fuga d’informació.

Mozilla també va llançar noves actualitzacions per a Thunderbird per a corregir un defecte de seguretat d’alta gravetat que podria portar a descàrregues d’arxius no sol·licitats, la qual cosa faria que els discos dels usuaris s’ompliren amb dades escombraries en Linux, o a una fugida de credencials a través d’enllaços SMB en Windows.
Si bé es requerix la interacció de l’usuari per a descarregar l’arxiu .pdf, l’ofuscació visual pot ocultar el desencadenador de la descàrrega. Veure el correu electrònic en mode HTML és suficient per a carregar contingut extern.
Esta vulnerabilitat s’ha identificat com CVE-2025-5986.

Recursos afectats

    • Google Chrome: versions anteriors a 137.0.7151.103/.104 per a Windows i macOS, i anteriors a 137.0.7151.103 per a Linux.
    • Mozilla Firefox: en versions anteriors a 139.0.4.
    • Mozilla Thunderbird : en versions anteriors a Thunderbird 139.0.2 i Thunderbird 128.11.1.

Recomanacions

Es recomana als usuaris que actualitzen els seus navegadors i clients de correu al més prompte possible, encara que Google i Mozilla no esmenten cap d’estes vulnerabilitats que puguen ser explotades en atacs:

    • Google Chrome: versions 137.0.7151.103/.104 per a Windows i macOS, i 137.0.7151.103 per a Linux.
    • Mozilla Firefox: Versió 139.0.4.
    • Thunderbird 139.0.2 i Thunderbird 128.11.1.

Referències