Categoría: Actualidad

Google y Mozilla han lanzado parches que corrigen cuatro errores de memoria de alta gravedad en Chrome y Firefox.

Análisis

Google Chrome 137

• • CVE-2025-5958: Vulnerabilidad de tipo use-after-free en el componente Media. Puede ser aprovechada para ejecutar código arbitrario o causar corrupción de memoria.
  • CVE-2025-5959: Vulnerabilidad de confusión de tipo en el motor V8 de JavaScript. Podría permitir la ejecución remota de código o filtración de información sensible. Google aún no ha determinado la recompensa correspondiente.

Mozilla Firefox 139

• • CVE-2025-49709: Error de corrupción de memoria en el componente Canvas Surfaces. Puede ser explotado para ejecutar código no autorizado o provocar caídas del navegador.
  • CVE-2025-49710: Desbordamiento de entero en la estructura OrderedHashTable utilizada por el motor JavaScript. Este fallo podría facilitar la ejecución de código malicioso o la fuga de información.

Mozilla también lanzó nuevas actualizaciones para Thunderbird para corregir un defecto de seguridad de alta gravedad que podría llevar a descargas de archivos no solicitados, lo que haría que los discos de los usuarios se llenaran con datos basura en Linux, o a una fuga de credenciales a través de enlaces SMB en Windows.
Si bien se requiere la interacción del usuario para descargar el archivo .pdf, la ofuscación visual puede ocultar el desencadenador de la descarga. Ver el correo electrónico en modo HTML es suficiente para cargar contenido externo.
Esta vulnerabilidad se ha identificado como CVE-2025-5986.

Recursos afectados

• • Google Chrome: Versiones anteriores a 137.0.7151.103/.104 para Windows y macOS, y anteriores a 137.0.7151.103 para Linux.
  • Mozilla Firefox: En versiones anteriores a 139.0.4.
  • Mozilla Thunderbird : En versiones anteriores a Thunderbird 139.0.2 y Thunderbird 128.11.1.

Recomendaciones

Se recomienda a los usuarios que actualicen sus navegadores y clientes de correo lo antes posible, aunque Google y Mozilla no mencionan ninguna de estas vulnerabilidades que puedan ser explotadas en ataques:

• • Google Chrome: Versiones 137.0.7151.103/.104 para Windows y macOS, y 137.0.7151.103 para Linux.
  • Mozilla Firefox: Versión 139.0.4.
  • Thunderbird 139.0.2 y Thunderbird 128.11.1.

Referencias

• • https://www.securityweek.com/chrome-firefox-updates-resolve-high-severity-memory-bugs/

Autodesk ha informado de la existencia de una vulnerabilidad en el instalador de Autodesk que podría provocar la ejecución de código en caso de explotación exitosa.

Análisis

La explotación de esta vulnerabilidad, identificada como CVE-2025-5335, se produciría al descargarse un archivo ejecutable o archivo binario modificado de forma maliciosa, que podría provocar una escalada de privilegios a NT AUTHORITY/SYSTEM, ya que, se habría introducido una ruta de búsqueda desconocida en la aplicación Autodesk Installer y facilitar la ejecución de código malicioso.

Recursos afectados

• • Instalador de Autodesk: v2.13 y versiones anteriores.

Recomendaciones

Para mitigar la vulnerabilidad, Autodesk recomienda actualizar a la versión v2.15.
Se recomienda, también, como práctica habitual, que los usuarios solamente ejecuten archivos de fuentes confiables.

Referencias

• • https://www.incibe.es/empresas/avisos/vulnerabilidad-detectada-en-el-instalador-de-autodesk
  • https://www.autodesk.com/trust/security-advisories/adsk-sa-2025-0010

El 10 de junio de 2025, Adobe publicó una actualización de seguridad que aborda 254 vulnerabilidades en varios de sus productos. Entre las más críticas se encuentran fallos de ejecución remota de código en Adobe Acrobat Reader y Adobe Commerce, que podrían permitir a atacantes ejecutar código arbitrario en los sistemas afectados.

Análisis

Adobe ha identificado al menos 10 vulnerabilidades en Adobe Acrobat Reader para Windows y macOS.

Cuatro de estas vulnerabilidades son calificadas como críticas, con una puntuación CVSS de 7.8 sobre 10. La explotación exitosa de estas vulnerabilidades podría permitir la ejecución remota de código, filtración de memoria, eludir características de seguridad y causar denegación de servicio en la aplicación.

Se han identificado cinco vulnerabilidades distintas en Adobe Commerce y Magento Open Source.

La más grave, CVE-2025-47110, es una vulnerabilidad de tipo XSS reflejada con una puntuación CVSS de 9.1, que podría permitir la ejecución remota de código. Además, se han corregido fallas de autorización incorrecta (CVE-2025-43585, CVSS 8.2), que podrían permitir eludir características de seguridad.

Recursos afectados

Las actualizaciones de seguridad afectan a las siguientes versiones de los productos:

Adobe Acrobat Reader: Versiones 25.001.20428 y anteriores para Windows y macOS .
Adobe Commerce y Magento Open Source: Versiones 2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores, y 2.4.4-p13 y anteriores

El listado completo de productos afectados y correcciones puede consultarse en https://helpx.adobe.com/security.html

Recomendaciones

Adobe ha publicado versiones actualizadas de los productos que corrigen las vulnerabilidades. Se recomienda aplicarlas lo más pronto posible.

Referencias

• • https://www.securityweek.com/code-execution-flaws-haunt-adobe-acrobat-reader-adobe-commerce/
  • https://thehackernews.com/2025/06/adobe-releases-patch-fixing-254.html

Microsoft ha publicado su actualización de seguridad mensual para junio de 2025, que incluye 66 vulnerabilidades que afectan a una variedad de productos, incluyendo una vulnerabilidad de día cero activamente explotada.

Análisis

En la versión de este mes, Microsoft no ha observado ninguna explotación activa de las vulnerabilidades incluidas.
De las once entradas «críticas», nueve son vulnerabilidades de ejecución remota de código (RCE) en servicios y aplicaciones de Microsoft Windows, como el Servicio de Escritorio Remoto de Microsoft Windows, Windows Schannel (Canal Seguro), el servicio proxy KDC, Microsoft Office, Word y SharePoint Server. Hay dos vulnerabilidades de elevación de privilegios que afectan a Windows NetLogon y Power Automate.

Entre los fallos corregidos se destacan:

CVE-2025-33053 – Vulnerabilidad de ejecución remota de código en WebDAV: Una vulnerabilidad en el componente WebDAV de Windows que permite a un atacante ejecutar código de forma remota si se explota correctamente. Esta vulnerabilidad ya estaba siendo utilizada en ataques antes de la publicación del parche, lo que la clasifica como una vulnerabilidad de día cero.

CVE-2025-47966 – Exposición de información en Power Automate: Una vulnerabilidad que permite a un atacante no autorizado acceder a información sensible en Power Automate, lo que podría conducir a una escalada de privilegios.

Múltiples vulnerabilidades en Microsoft Office: Se corrigieron 17 vulnerabilidades en Microsoft Office y productos relacionados, incluyendo 4 que Microsoft considera más propensas a ser explotadas.

Además de estas, se corrigieron vulnerabilidades en otros productos como Microsoft Edge, .NET, y componentes de Windows.

Recursos afectados

Las actualizaciones cubren fallos, entre otros en:

• • • Microsoft Windows 10, 11 y Server
    • Microsoft Office y Microsoft 365 Apps
    • Microsoft Edge
    • Power Automate
    • .NET Framework
    • Windows WebDAV
    • Windows Remote Desktop
    • Windows Kernel
    • Microsoft Defender

Pueden consultar el listado completo de productos afectados y las vulnerabilidades en el boletín oficial de Microsoft: June 2025 Security Updates

Recomendaciones

• • Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

• • https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws
  • https://blog.talosintelligence.com/microsoft-patch-tuesday-june-2025
  • https://cyberscoop.com/microsoft-patch-tuesday-june-2025
  • https://www.securityweek.com/microsoft-patch-tuesday-covers-webdav-flaw-marked-as-already-exploited
  • https://hackread.com/june-2025-patch-tuesday-microsoft-bugs-active-0-day
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-junio-de-2025
  • https://msrc.microsoft.com/update-guide