Publicado el

Parches de Seguridad Urgentes para Chrome y Firefox

El 28 de mayo de 2025, Google y Mozilla anunciaron nuevas actualizaciones de seguridad para sus navegadores Chrome y Firefox. Estas actualizaciones, correspondientes a Chrome 137 y Firefox 139, corrigen un total de 21 vulnerabilidades, tres de ellas clasificadas como de alta gravedad. Aunque no se ha informado de que estas fallas estén siendo explotadas activamente, se recomienda aplicar las actualizaciones de forma inmediata.

Análisis

Las actualizaciones publicadas por Google y Mozilla abordan varias vulnerabilidades críticas que podrían permitir a un atacante ejecutar código arbitrario, causar bloqueos o comprometer la seguridad del sistema si se combinan con otras fallas.

En Chrome 137, se corrigen 11 fallos de seguridad, de los cuales ocho fueron reportados por investigadores externos. Dos de ellos son considerados de alta severidad:

    • CVE-2025-5063: fallo use-after-free en Compositing.
    • CVE-2025-5280: escritura fuera de límites en el motor JavaScript V8.

Estas fallas pueden derivar en la ejecución de código arbitrario o una fuga del sandbox si se explotan junto con otros errores del sistema. Además, se solucionaron cinco fallos de severidad media en componentes como Background Fetch API, FileSystemAccess API, Messages, BFCache y libvpx, y uno de baja severidad en Tab Strip.

En Firefox 139, se solucionaron 10 vulnerabilidades, incluyendo un error double-free de alta severidad en la biblioteca libvpx, que podría generar corrupción de memoria y un fallo explotable. También se resolvieron seis fallas de severidad media relacionadas con ataques de fuga entre orígenes (cross-origin), ejecución de código local, XS-Leaks y corrupción de memoria.

Mozilla también publicó actualizaciones para las versiones de soporte extendido (ESR) y Thunderbird:

    • Firefox ESR 128.11: corrige ocho de estas vulnerabilidades.
    • Firefox ESR 115.24: corrige cuatro fallas.
    • Thunderbird 139: incluye parches para las diez vulnerabilidades.
    • Thunderbird 128.11: soluciona ocho de ellas.

 

Recursos afectados

    • Google Chrome, versiones inferiores a 137.0.7151.55/56 (Windows/macOS) y 137.0.7151.55 (Linux)
    • Mozilla Firefox, versiones inferiores a 139
    • Mozilla Thunderbird, versiones inferiores a 139

Recomendaciones

Actualizar Chrome a la versión 137.0.7151.55/56.
Actualizar Firefox a la versión 139 o a las versiones ESR correspondientes.
Actualizar Mozilla Thunderbird a la última versión disponible.

Referencias

https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-136-update-patches-vulnerability-with-exploit-in-the-wild/

https://www.securityweek.com/chrome-136-firefox-138-patch-high-severity-vulnerabilities

https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

 

Publicado el

Una vulnerabilidad en Oracle TNS permite a atacantes extraer datos sensibles de la memoria del sistema

Una vulnerabilidad recientemente descubierta en el protocolo Transparent Network Substrate (TNS) de Oracle permite a atacantes sin autenticar acceder a fragmentos de memoria del sistema. Aunque Oracle ya ha publicado un parche correctivo, varios servidores siguen expuestos a posibles ataques, lo que representa un riesgo de filtración de datos sensibles.

Análisis

La vulnerabilidad afecta al protocolo TNS cuando el listener de Oracle está configurado para aceptar conexiones TCPS y la opción LOCAL_OS_AUTHENTICATION está desactivada. En esta configuración, una simple petición de versión puede devolver memoria no inicializada que contiene variables del entorno del sistema como USERNAME, USERDOMAIN o la variable Path.

CVE-2025-30733: Esta vulnerabilidad representa un riesgo significativo, ya que afecta directamente al protocolo Oracle TNS y permite que una solicitud especialmente diseñada provoque una fuga de memoria del sistema. Bajo ciertas configuraciones, un atacante sin autenticar puede obtener datos sensibles como nombres de usuario, rutas de instalación o variables de entorno, lo que facilita movimientos laterales o ataques dirigidos dentro de la infraestructura afectada.

Para que el ataque tenga éxito, deben cumplirse las siguientes condiciones:

    • Acceso de red al listener TNS (puerto 1521 por defecto)
    • Configuración que permita conexiones remotas no predeterminadas
    • Interacción indirecta de un usuario legítimo (según vector UI:R)

Recursos afectados

Esta vulnerabilidad afecta a las siguientes versiones de Oracle Database:

    • 19c: de la versión 19.3 hasta 19.26
    • 21c: de la versión 21.3 hasta 21.17
    • 23c: de la versión 23.4 hasta 23.7

Recomendaciones

Instalar el Critical Patch Update de abril de 2025 o versiones posteriores disponibles en el sitio oficial de Oracle.

Referencias

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbns04859en_us&docLocale=en_US

https://www.oracle.com/security-alerts/cpuapr2025.html

Publicado el

Múltiples vulnerabilidades en productos HP

HP ha publicado 13 vulnerabilidades: 1 de severidad crítica, 7 de severidad alta y el resto de severidad media. En caso de ser explotadas podrían provocar una denegación de servicio, ejecución de código, divulgación de información confidencial, desbordamiento de búfer o inyección de scripts.

Análisis

La vulnerabilidad de severidad crítica en la implementación del descifrado SM2 en OpenSSL permite que la función EVP_PKEY_decrypt() calcule incorrectamente el tamaño del búfer necesario para el texto plano en su primera llamada. Esto puede resultar en un búfer demasiado pequeño en la segunda llamada, causando un desbordamiento de búfer de hasta 62 bytes. Un atacante podría explotar esto para sobrescribir datos adyacentes en el montón, alterando el comportamiento de la aplicación o provocando su bloqueo. Se ha asignado el identificador CVE-2021-3711 para esta vulnerabilidad.

El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.

Recursos afectados

    • SSH Server (T0801);
    • NonStop SSL (T0910);
    • MR-Win6530 (T0819).

Recomendaciones

Se recomienda actualizar a la ultima versión disponible.

Referencias

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbns04859en_us&docLocale=en_US

Publicado el

Firefox corrige dos vulnerabilidades de día cero

Mozilla ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades críticas en su navegador Firefox que podrían ser explotadas para acceder a datos confidenciales o lograr la ejecución de código.

Análisis

Mozilla ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades críticas en su navegador Firefox que podrían ser explotadas para acceder a datos confidenciales o lograr la ejecución de código.

Las vulnerabilidades, ambas explotadas como día cero, se enumeran a continuación:

    • CVE-2025-4918: Una vulnerabilidad de acceso fuera de límites al resolver objetos Promise que podría permitir a un atacante realizar operaciones de lectura o escritura en un objeto Promise de JavaScript.
    • CVE-2025-4919: Una vulnerabilidad de acceso fuera de límites al optimizar sumas lineales que podría permitir a un atacante realizar operaciones de lectura o escritura en un objeto JavaScript al confundir los tamaños de índice de la matriz.

En otras palabras, la explotación exitosa de cualquiera de las vulnerabilidades podría permitir a un adversario realizar operaciones de lectura o escritura fuera de los límites , que luego podrían usarse para acceder a información que de otro modo sería confidencial o provocar una corrupción de memoria que podría allanar el camino para la ejecución de código.

Recursos afectados

    • Todas las versiones de Firefox anteriores a la 138.0.4 (incluido Firefox para Android).
    • Todas las versiones de Firefox Extended Support Release (ESR) anteriores a la 128.10.1.
    • Todas las versiones de Firefox ESR anteriores a 115.23.1

Recomendaciones

Se recomienda actualizar a la ultima versión de la aplicación.

Referencias