Publicado el por Seguridad CSIRT-CV

Actualizaciones de Chrome y Firefox

Google y Mozilla han lanzado parches que corrigen cuatro errores de memoria de alta gravedad en Chrome y Firefox.

Análisis

Google Chrome 137

    • CVE-2025-5958: Vulnerabilidad de tipo use-after-free en el componente Media. Puede ser aprovechada para ejecutar código arbitrario o causar corrupción de memoria.
    • CVE-2025-5959: Vulnerabilidad de confusión de tipo en el motor V8 de JavaScript. Podría permitir la ejecución remota de código o filtración de información sensible. Google aún no ha determinado la recompensa correspondiente.

Mozilla Firefox 139

    • CVE-2025-49709: Error de corrupción de memoria en el componente Canvas Surfaces. Puede ser explotado para ejecutar código no autorizado o provocar caídas del navegador.
    • CVE-2025-49710: Desbordamiento de entero en la estructura OrderedHashTable utilizada por el motor JavaScript. Este fallo podría facilitar la ejecución de código malicioso o la fuga de información.

Mozilla también lanzó nuevas actualizaciones para Thunderbird para corregir un defecto de seguridad de alta gravedad que podría llevar a descargas de archivos no solicitados, lo que haría que los discos de los usuarios se llenaran con datos basura en Linux, o a una fuga de credenciales a través de enlaces SMB en Windows.
Si bien se requiere la interacción del usuario para descargar el archivo .pdf, la ofuscación visual puede ocultar el desencadenador de la descarga. Ver el correo electrónico en modo HTML es suficiente para cargar contenido externo.
Esta vulnerabilidad se ha identificado como CVE-2025-5986.

Recursos afectados

    • Google Chrome: Versiones anteriores a 137.0.7151.103/.104 para Windows y macOS, y anteriores a 137.0.7151.103 para Linux.
    • Mozilla Firefox: En versiones anteriores a 139.0.4.
    • Mozilla Thunderbird : En versiones anteriores a Thunderbird 139.0.2 y Thunderbird 128.11.1.

Recomendaciones

Se recomienda a los usuarios que actualicen sus navegadores y clientes de correo lo antes posible, aunque Google y Mozilla no mencionan ninguna de estas vulnerabilidades que puedan ser explotadas en ataques:

    • Google Chrome: Versiones 137.0.7151.103/.104 para Windows y macOS, y 137.0.7151.103 para Linux.
    • Mozilla Firefox: Versión 139.0.4.
    • Thunderbird 139.0.2 y Thunderbird 128.11.1.

Referencias