Autor: Seguridad CSIRT-CV

Apple ha lanzado actualizaciones críticas para sus sistemas operativos iOS y macOS, abordando dos vulnerabilidades de tipo «zero-day» que fueron activamente explotadas en ataques dirigidos a dispositivos iPhone y Mac. Estas vulnerabilidades, descubiertas recientemente, podrían permitir a atacantes ejecutar código malicioso de forma remota y comprometer la seguridad de los dispositivos afectados.

Análisis

Las vulnerabilidades corregidas incluyen un error en WebKit (el motor de renderizado de Safari) y otro relacionado con la gestión de memoria en el sistema operativo.

Vulnerabilidades Reportadas:

• • CVE-2025-31200 en CoreAudio fue descubierta por Apple y el equipo de Análisis de Amenazas de Google. El procesamiento de una secuencia de audio en un archivo multimedia creado con fines maliciosos puede provocar la ejecución de código. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en iOS. Se solucionó un problema de corrupción de memoria mejorando la comprobación de límites. La compañía afirmó que el TAG (Grupo de Análisis de Amenazas) de Google informó del problema.

• • CVE-2025-31201 en RPAC mediante la cual un atacante con capacidad de lectura y escritura arbitraria podría eludir la autenticación de puntero. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en iOS. Este problema se solucionó eliminando el código vulnerable.

Ambas vulnerabilidades han sido explotadas activamente en ataques dirigidos, lo que implica que actores maliciosos ya están utilizando estos fallos para acceder a los dispositivos afectados. Aunque Apple no ha proporcionado detalles específicos sobre los ataques, se han observado casos de espionaje y robo de datos.

Recursos afectados

• • Dispositivos iPhone y iPad con versiones de iOS anteriores a la versión 16.4.
  • Computadoras Mac con versiones de macOS anteriores a la versión 13.4.
  • Aplicaciones de terceros que utilicen WebKit o servicios de navegación web en estos dispositivos también pueden estar en riesgo de explotación si no están actualizadas.

Recomendaciones

Los usuarios de dispositivos Apple deben actualizar a la última versión de iOS (16.4 o superior) y macOS (13.4 o superior) para corregir estas vulnerabilidades.

Referencias

• • https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-exploited-in-targeted-iphone-attacks/
  • https://support.apple.com/en-us/122282
  • https://www.securityweek.com/apple-pushes-ios-macos-patches-to-quash-two-zero-days/
•  

Oracle ha anunciado el lanzamiento de 378 nuevos parches de seguridad como parte de su segunda Actualización de parches críticos (CPU) de 2025, incluidas 255 correcciones para vulnerabilidades que se pueden explotar de forma remota sin autenticación.

Análisis

Se han identificado aproximadamente 180 CVE únicos en la CPU de abril de 2025 de Oracle que incluye 40 parches de seguridad que resuelven vulnerabilidades de gravedad crítica.

Oracle Communications recibió la mayor cantidad de correcciones de seguridad, 103, incluidos 82 parches para errores que pueden ser explotados por atacantes remotos no autenticados.

El siguiente en la lista es MySQL, que recibió 43 nuevos parches de seguridad (2 por vulnerabilidades no autenticadas y explotables de forma remota), seguido por Aplicaciones de comunicaciones (42 – 35), Aplicaciones de servicios financieros (34 – 22) y Fusion Middleware (31 – 26).

Oracle también lanzó correcciones de seguridad para E-Business Suite (16 parches nuevos, 11 para defectos explotables de forma remota sin autenticación), Analytics (15 – 11), Retail Applications (11 – 11), JD Edwards (8 – 5), Construcción e Ingeniería (7 – 6), Servidor de base de datos (7 – 3), Comercio (6 – 5) y Java SE (6 – 5).

Se lanzaron algunos parches para Enterprise Manager, herramientas de soporte, GoldenGate, Siebel CRM, PeopleSoft, automatización de políticas, aplicaciones de alimentos y bebidas, aplicaciones de hospitalidad, Hyperion, cadena de suministro, virtualización, base de datos en memoria TimesTen, aplicaciones de utilidades y sistemas.

Autonomous Health Framework, Graph Server y Client, Insurance Applications, Essbase y Secure Backup recibieron un parche cada uno.

Adicionalmente anunció correcciones para CVE de terceros no explotables. Para otros productos, las correcciones abordan CVE adicionales y CVE no explotables.

El martes, también publicó el Boletín de terceros de Solaris de abril de 2025 , que contiene 16 nuevos parches de seguridad (14 para fallas no autenticadas y explotables de forma remota), y el Boletín de Linux de abril de 2025 , que enumera 48 correcciones para errores de Oracle Linux resueltos y anunciados en el último mes y que se actualizará durante dos meses para incluir nuevos CVE.

Recursos afectados

Productos Oracle mencionados en los boletines disponibles en las referencias.

Recomendaciones

Se recomienda a los clientes de Oracle que apliquen los parches lo antes posible, ya que se ha observado que actores de amenazas explotan vulnerabilidades de Oracle para las que se han publicado correcciones pero no se han aplicado.

Referencias

• • https://www.securityweek.com/oracle-patches-180-vulnerabilities-with-april-2025-cpu/
  • https://www.oracle.com/security-alerts/cpuapr2025.html
  • https://www.oracle.com/security-alerts/linuxbulletinapr2025.html
•  

Google y Mozilla anunciaron el martes actualizaciones de seguridad para Chrome 135 y Firefox 137 que abordan vulnerabilidades críticas y de alta gravedad potencialmente explotables.

Análisis

• • Google Chrome

Se lanzaron las versiones 135.0.7049.95/.96 de Chrome para Windows y macOS y la versión 135.0.7049.95 para Linux con correcciones para dos vulnerabilidades de seguridad de memoria informadas por investigadores externos.

La primera, identificada como CVE-2025-3619, se describe como un problema crítico de desbordamiento del búfer de pila en códecs. la segunda es CVE-2025-3620, un error de uso después de la liberación en USB.

Si bien Google no ha compartido detalles específicos sobre ninguna de las vulnerabilidades, ambas podrían ser explotadas por atacantes con conocimiento de patrones de asignación de memoria para ejecutar código arbitrario, generalmente convenciendo a un usuario de visitar una página web diseñada específicamente para ello.

• • Mozilla Firefox

Firefox se actualizó a la versión 137.0.2 en todos los sistemas operativos para resolver CVE-2025-3608, una condición de carrera de alta gravedad en nsHttpTransaction, el componente que maneja las transacciones HTTP.

Según Mozilla, el defecto de seguridad podría haber sido explotado para causar corrupción en la memoria, lo que podría haber abierto la puerta a una mayor explotación.

• • Mozilla Thunderbird y Thunderbird ESR

El martes, Mozilla también anunció el lanzamiento de Thunderbird 137.0.2 y Thunderbird ESR 128.9.2 con correcciones para dos vulnerabilidades de alta gravedad y una vulnerabilidad de gravedad media.

Las vulnerabilidades de alta gravedad, identificadas como CVE-2025-3522 y CVE-2025-2830, son vulnerabilidades de divulgación de información que podrían provocar que se expongan credenciales de Windows cifradas o una lista de directorio de /tmp .

La vulnerabilidad CVE-2025-3522 consiste en que, al manejar archivos adjuntos alojados externamente, la URL a la que Thunderbird accede para determinar el tamaño del archivo adjunto no está validada ni desinfectada y podría hacer referencia a recursos internos.

CVE-2025-2830 se puede explotar a través de nombres de archivos mal formados para adjuntos en mensajes multiparte para engañar al cliente de correo electrónico para que incluya una lista de directorio /tmp cuando un mensaje se edita como un mensaje nuevo o se reenvía.

Recursos afectados

• • Google Chrome en versiones anteriores a la 135.0.7049.95/.96 en
  • Windows y macOS y 135.0.7049.95 para Linux
  • Mozilla Firefox en versiones anteriores a la 137.0.2.
  • Mozilla Thunderbird en versiones anteriores a la 137.0.2.
  • Mozilla Thunderbird ESR en versiones anteriores a la 128.9.2.

Recomendaciones

Ni Google ni Mozilla mencionan que estas vulnerabilidades se estén explotando indiscriminadamente. Sin embargo, se recomienda a los usuarios instalar las actualizaciones lo antes posible:

• • Google Chrome 135.0.7049.95/.96 para Windows y macOS y 135.0.7049.95 para Linux
  • Mozilla Firefox 137.0.2.
  • Mozilla Thunderbird 137.0.2.
  • Mozilla Thunderbird ESR 128.9.2.

Referencias

• • https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

Autodesk ha informado de 4 vulnerabilidades de severidad alta, que se podrían aprovechar para provocar un bloqueo, dañar datos o ejecutar código arbitrario en el contexto del proceso actual.

Análisis

Las vulnerabilidades identificadas son las siguientes:

• • CVE-2025-1276 afectaría a la confidencialidad, integridad o disponibilidad de los datos del usuario o de los recursos de procesamiento. Un archivo DWG creado con fines maliciosos, al analizarse mediante ciertas aplicaciones de Autodesk, puede forzar la escritura fuera de límites. El ciberdelincuente necesita de la interacción del usuario, una vez conseguido, el atacante puede provocar bloqueos, daños en los datos o ejecutar código arbitrario.
    
    
  • Las vulnerabilidades CVE-2025-1273, CVE-2025-1656 y CVE-2025-1277 permiten que un PDF creado con fines malintencionados, al vincularse o importarse a aplicaciones de Autodesk, pueda forzar un desbordamiento de pila y provocar bloqueos, lectura de datos confidenciales o ejecución de código arbitrario.

Recursos afectados

• • Autodesk Advance Steel versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD Architecture versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD Electrical versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD Map 3D versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD Mechanical versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD MEP versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD Plant 3D versiones 2023, 2024 y 2025;
  • Autodesk AutoCAD LT versiones 2023, 2024 y 2025;
  • Autodesk Civil 3D versiones 2023, 2024 y 2025;
  • Autodesk Infrastructure Parts Editor versión 2025;
  • Autodesk Inventor versión 2025;
  • Autodesk Navisworks Manage versión 2025;
  • Autodesk Navisworks Simulate versión 2025;
  • Autodesk Revit versión 2025;
  • Autodesk Vault Basic Client versión 2025.

Recomendaciones

Autodesk recomienda a los usuarios de los productos afectados que instalen las últimas versiones a través de Autodesk Access o Autodesk Account. También se recomienda solo aceptar archivos de fuentes de confianza.

Para mitigar la vulnerabilidad CVE-2025-1276 actualizar a las siguientes versiones:

• • Autodesk Advance Steel: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Architecture: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Electrical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Map 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Mechanical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD MEP: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Plant 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD LT: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Civil 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Infrastructure Parts Editor: RealDWG v2025.1.2;
  • Autodesk Inventor: RealDWG v2025.1.2;
  • Autodesk Navisworks Manage: RealDWG v2025.1.2;
  • Autodesk Navisworks Simulate: RealDWG v2025.1.2;
  • Autodesk Revit: RealDWG v2025.1.2;
  • Autodesk Vault Basic Client: RealDWG v2025.1.2.

Para mitigar las vulnerabilidades identificadas como CVE-2025-1273, CVE-2025-1656 y CVE-2025-1277, actualizar a la siguiente versión:

• • Autodesk Revit: v2025.4.1.

Referencias

• • https://www.incibe.es/empresas/avisos/varias-vulnerabilidades-encontradas-en-productos-de-autodesk
  • PDF Vulnerabilities in Certain Autodesk Desktop Products
  • DWG Vulnerability in Certain Autodesk Desktop Products