Google y Mozilla anunciaron el martes actualizaciones de seguridad para Chrome 135 y Firefox 137 que abordan vulnerabilidades críticas y de alta gravedad potencialmente explotables.
Análisis
- Google Chrome
Se lanzaron las versiones 135.0.7049.95/.96 de Chrome para Windows y macOS y la versión 135.0.7049.95 para Linux con correcciones para dos vulnerabilidades de seguridad de memoria informadas por investigadores externos.
La primera, identificada como CVE-2025-3619, se describe como un problema crítico de desbordamiento del búfer de pila en códecs. la segunda es CVE-2025-3620, un error de uso después de la liberación en USB.
Si bien Google no ha compartido detalles específicos sobre ninguna de las vulnerabilidades, ambas podrían ser explotadas por atacantes con conocimiento de patrones de asignación de memoria para ejecutar código arbitrario, generalmente convenciendo a un usuario de visitar una página web diseñada específicamente para ello.
- Mozilla Firefox
Firefox se actualizó a la versión 137.0.2 en todos los sistemas operativos para resolver CVE-2025-3608, una condición de carrera de alta gravedad en nsHttpTransaction, el componente que maneja las transacciones HTTP.
Según Mozilla, el defecto de seguridad podría haber sido explotado para causar corrupción en la memoria, lo que podría haber abierto la puerta a una mayor explotación.
- Mozilla Thunderbird y Thunderbird ESR
El martes, Mozilla también anunció el lanzamiento de Thunderbird 137.0.2 y Thunderbird ESR 128.9.2 con correcciones para dos vulnerabilidades de alta gravedad y una vulnerabilidad de gravedad media.
Las vulnerabilidades de alta gravedad, identificadas como CVE-2025-3522 y CVE-2025-2830, son vulnerabilidades de divulgación de información que podrían provocar que se expongan credenciales de Windows cifradas o una lista de directorio de /tmp .
La vulnerabilidad CVE-2025-3522 consiste en que, al manejar archivos adjuntos alojados externamente, la URL a la que Thunderbird accede para determinar el tamaño del archivo adjunto no está validada ni desinfectada y podría hacer referencia a recursos internos.
CVE-2025-2830 se puede explotar a través de nombres de archivos mal formados para adjuntos en mensajes multiparte para engañar al cliente de correo electrónico para que incluya una lista de directorio /tmp cuando un mensaje se edita como un mensaje nuevo o se reenvía.
Recursos afectados
- Google Chrome en versiones anteriores a la 135.0.7049.95/.96 en
- Windows y macOS y 135.0.7049.95 para Linux
- Mozilla Firefox en versiones anteriores a la 137.0.2.
- Mozilla Thunderbird en versiones anteriores a la 137.0.2.
- Mozilla Thunderbird ESR en versiones anteriores a la 128.9.2.
Recomendaciones
Ni Google ni Mozilla mencionan que estas vulnerabilidades se estén explotando indiscriminadamente. Sin embargo, se recomienda a los usuarios instalar las actualizaciones lo antes posible:
- Google Chrome 135.0.7049.95/.96 para Windows y macOS y 135.0.7049.95 para Linux
- Mozilla Firefox 137.0.2.
- Mozilla Thunderbird 137.0.2.
- Mozilla Thunderbird ESR 128.9.2.
Referencias