Autor: Seguridad CSIRT-CV

Google lanzó una actualización para solucionar cinco vulnerabilidades en el navegador, incluidos tres fallos de segridad de criticidad alta.

Análisis

Google lanzó una actualización para solucionar cinco vulnerabilidades en el navegador, incluidas tres fallas de alta gravedad. El primer problema de alto riesgo es CVE-2025-12725 (puntuación CVSS de 8,8), descrito como un error de escritura fuera de límites en la API de gráficos WebGPU de Chrome, que ofrece imágenes de alto rendimiento al permitir que los sitios web interactúen con la GPU del sistema.

Los defectos de acceso fuera de límites tienen su origen en una comprobación de límites insuficiente, lo que permite a los atacantes escribir datos fuera del espacio de memoria previsto, lo que puede provocar fallos o la ejecución de código arbitrario.

Los dos errores de alta gravedad restantes resueltos con la nueva actualización de Chrome son implementaciones inapropiadas en el marco de trabajo Views y el motor JavaScript V8, rastreados como CVE-2025-12726 y CVE-2025-12727 (puntuación CVSS de 8.8).

La vulnerabilidad en Views se debe a que las referencias a objetos de la interfaz de usuario se gestionan de forma insegura, lo que podría permitir a atacantes provocar corrupción de memoria mediante páginas web o extensiones manipuladas. La explotación exitosa de esta vulnerabilidad también podría conducir al acceso no autorizado a componentes de la interfaz.

Las vulnerabilidades en el motor V8 de JavaScript y WebAssembly de Chrome son objetivos frecuentes para los ciberdelincuentes. Los problemas de confusión de tipos y corrupción de memoria en V8 suelen explotarse para la ejecución remota de código.

Los dos defectos de seguridad restantes resueltos con esta actualización de Chrome 142 son implementaciones inapropiadas de gravedad media en Omnibox, rastreadas como CVE-2025-12728 y CVE-2025-12729.

Recomendaciones

Referencias

https://www.securityweek.com/chrome-142-update-patches-high-severity-flaws/

Broadcom ha publicado para su programa VMware Tanzu 2 avisos de seguridad con 26 vulnerabilidades en total, de las cuales 2 son de severidad crítica, 9 altas y 15 medias. Si se explotan las vulnerabilidades, se puede alterar el flujo normal de comunicaciones.

Análisis

Las vulnerabilidades de severidad crítica son:

• • CVE-2024-45337: las aplicaciones y bibliotecas que hacen un uso indebido de connection.serverAuthenticate (a través del campo de devolución de llamada ServerConfig.PublicKeyCallback) pueden ser susceptibles de eludir la autorización.
  • CVE-2025-22871: el paquete net/http acepta incorrectamente un LF simple como terminador de línea en líneas de tamaño de fragmento de datos fragmentados. Esto puede permitir el contrabando de solicitudes si se utiliza un servidor net/http junto con un servidor que acepta incorrectamente un LF simple como parte de un chunk-ext.

• • VMware Tanzu Data Intelligence;
  • VMware Tanzu Data Suite;
  • VMware Tanzu Greenplum;
  • Tanzu Kubernetes Runtime;
  • VMware Tanzu Application Service;
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Platform;
  • VMware Tanzu Platform – Cloud Foundry;
  • VMware Tanzu Platform Core;
  • VMware Tanzu Platform – Kubernetes;
  • VMware Tanzu Platform – SM.

Referencias

HP ha publicado 3 boletines de seguridad que suman más de 1.400 vulnerabilidades, 8 de ellas de severidad crítica. En caso de ser explotadas podrían permitir la escalada de privilegios, la ejecución arbitraria de código, denegaciones de servicio y la revelación de información.

Análisis

Las vulnerabilidades de severidad crítica son las indicadas a continuación, donde también se indica el tipo de vulnerabilidad:

CVE-2025-27832,

CVE-2025-27836 y

CVE-2024-38541: copia del búfer sin comprobar el tamaño de la entrada (clásico desbordamiento del búfer);

CVE-2025-5914: doble liberación;

CVE-2025-32911: liberación de memoria sin ser del montículo;

CVE-2025-49796: lectura fuera de límites;

CVE-2025-49794: desreferencia a puntero expirado;

CVE-2023-38408: elemento o ruta de búsqueda sin entrecomillar.

Recomendaciones

Actualizar a la ultima versión.

Referencias

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-hp-0

Google ha lanzado una actualización para su navegador Chrome que incluye 20 correcciones de seguridad, varias de ellas de alta gravedad. La mayoría de estas vulnerabilidades se encontraron en el motor V8 de Chrome, la parte de Chrome (y otros navegadores basados ​​en Chromium) que ejecuta JavaScript.

Análisis

Google ha lanzado una actualización para su navegador Chrome que incluye 20 correcciones de seguridad, varias de ellas de alta gravedad. La mayoría de estas vulnerabilidades se encontraron en el motor V8 de Chrome, la parte de Chrome (y otros navegadores basados ​​en Chromium) que ejecuta JavaScript.

Chrome es, con diferencia, el navegador más popular del mundo, utilizado por aproximadamente 3400 millones de personas. Esta magnitud implica que, cuando Chrome presenta una vulnerabilidad de seguridad, miles de millones de usuarios quedan potencialmente expuestos hasta que actualicen el navegador.

Estas vulnerabilidades son graves porque afectan al código que ejecuta casi todos los sitios web que visitas. Cada vez que cargas una página, tu navegador ejecuta JavaScript de diversas fuentes, tanto si te das cuenta como si no. Sin las medidas de seguridad adecuadas, los atacantes pueden introducir instrucciones maliciosas que tu navegador ejecuta, a veces sin que hagas clic en nada. Esto podría provocar el robo de datos, infecciones de malware o incluso la vulneración total del sistema.

Por eso es importante instalar estos parches cuanto antes. Si no los instalas, podrías ser vulnerable a un ataque simplemente navegando por internet, y los atacantes suelen aprovechar este tipo de vulnerabilidades antes de que la mayoría de los usuarios tengan la oportunidad de actualizar. Deja siempre que tu navegador se actualice automáticamente y no retrases el reinicio para aplicar los parches de seguridad, ya que las actualizaciones suelen solucionar precisamente este tipo de riesgos.

Entre las vulnerabilidades del motor V8, destacan dos:

CVE-2025-12428 es una vulnerabilidad de alta gravedad de «confusión de tipos» en el motor JavaScript V8. Esto ocurre cuando el código no verifica el tipo de objeto que está procesando y, por lo tanto, lo utiliza incorrectamente. En otras palabras, el software confunde un tipo de dato con otro, como tratar una lista como un solo valor o un número como texto. Esto puede provocar un comportamiento impredecible en Chrome y, en algunos casos, permitir que los atacantes manipulen la memoria y ejecuten código de forma remota mediante JavaScript malicioso en un sitio web comprometido.

La vulnerabilidad CVE-2025-12036, clasificada como crítica, se debe a una implementación incorrecta en V8. Esta vulnerabilidad permite la ejecución remota de código (RCE), lo que significa que un atacante podría ejecutar código en su ordenador simplemente redirigiendo su visita a una página web especialmente diseñada. Se origina en un manejo inadecuado del funcionamiento interno de los motores JavaScript y WebAssembly, y conlleva un alto riesgo de robo de datos, instalación de malware e incluso la vulneración total del sistema.

Los usuarios de otros navegadores basados ​​en Chromium, como Edge, Opera y Brave, pueden esperar actualizaciones similares en un futuro próximo.

Recomendaciones

Referencias

https://www.malwarebytes.com/blog/news/2025/10/update-chrome-now-20-security-fixes-just-landed

https://www.malwarebytes.com/blog/explained/2025/06/how-to-update-chrome-on-every-operating-system