Category: Actualitat

Google i Mozilla han llançat actualitzacions que corregixen quatre errors de memòria d’alta gravetat en Chrome i Firefox.

Anàlisi

Google Chrome 137

• • CVE-2025-5958: vulnerabilitat de tipus use-after-free en el component Mitjana. Pot ser aprofitada per a executar codi arbitrari o causar corrupció de memòria.
  • CVE-2025-5959: vulnerabilitat de confusió de tipus en el motor V8 de JavaScript. Podria permetre l’execució remota de codi o filtració d’informació sensible. Google encara no ha determinat la recompensa corresponent.

Mozilla Firefox 139

• • CVE-2025-49709: error de corrupció de memòria en el component Canvas Surfaces. Pot ser explotat per a executar codi no autoritzat o provocar caigudes del navegador.
  • CVE-2025-49710: desbordament d’enter en l’estructura OrderedHashTable utilitzada pel motor JavaScript. Esta fallada podria facilitar l’execució de codi maliciós o la fuga d’informació.

Mozilla també va llançar noves actualitzacions per a Thunderbird per a corregir un defecte de seguretat d’alta gravetat que podria portar a descàrregues d’arxius no sol·licitats, la qual cosa faria que els discos dels usuaris s’ompliren amb dades escombraries en Linux, o a una fugida de credencials a través d’enllaços SMB en Windows.
Si bé es requerix la interacció de l’usuari per a descarregar l’arxiu .pdf, l’ofuscació visual pot ocultar el desencadenador de la descàrrega. Veure el correu electrònic en mode HTML és suficient per a carregar contingut extern.
Esta vulnerabilitat s’ha identificat com CVE-2025-5986.

Recursos afectats

• • Google Chrome: versions anteriors a 137.0.7151.103/.104 per a Windows i macOS, i anteriors a 137.0.7151.103 per a Linux.
  • Mozilla Firefox: en versions anteriors a 139.0.4.
  • Mozilla Thunderbird : en versions anteriors a Thunderbird 139.0.2 i Thunderbird 128.11.1.

Recomanacions

Es recomana als usuaris que actualitzen els seus navegadors i clients de correu al més prompte possible, encara que Google i Mozilla no esmenten cap d’estes vulnerabilitats que puguen ser explotades en atacs:

• • Google Chrome: versions 137.0.7151.103/.104 per a Windows i macOS, i 137.0.7151.103 per a Linux.
  • Mozilla Firefox: Versió 139.0.4.
  • Thunderbird 139.0.2 i Thunderbird 128.11.1.

Referències

• • https://www.securityweek.com/chrome-firefox-updates-resolve-high-severity-memory-bugs/

Autodesk ha informat de l’existència d’una vulnerabilitat en l’instal·lador d’Autodesk que podria provocar l’execució de codi en cas d’explotació exitosa.

Anàlisi

L’explotació d’esta vulnerabilitat, identificada com a CVE-2025-5335, es produiria en descarregar-se un arxiu executable o arxiu binari modificat de manera maliciosa, que podria provocar una escalada de privilegis a NT AUTHORITY/SYSTEM, ja que, s’hauria introduït una ruta de busca desconeguda en l’aplicació Autodesk Installer i facilitar l’execució de codi maliciós.

Recursos afectats

• • Instal·lador d’Autodesk: v2.13 i versions anteriors

Recomanacions

Per a mitigar la vulnerabilitat, Autodesk recomana actualitzar a la versió v2.15.
Es recomana, també, com a pràctica habitual, que els usuaris solament executen arxius de fonts de confiança.

Referències

• • https://www.incibe.es/empresas/avisos/vulnerabilidad-detectada-en-el-instalador-de-autodesk
  • https://www.autodesk.com/trust/security-advisories/adsk-sa-2025-0010

El 10 de juny de 2025, Adobe va publicar una actualització de seguretat que aborda 254 vulnerabilitats en diversos dels seus productes. Entre les més crítiques es troben fallades d’execució remota de codi en Adobe Acrobat Reader i Adobe Commerce, que podrien permetre a atacants executar codi arbitrari en els sistemes afectats.

Anàlisi

Adobe ha identificat, almenys, 10 vulnerabilitats en Adobe Acrobat Reader per a Windows i macOS.

Quatre d’estes vulnerabilitats són qualificades com a crítiques, amb una puntuació CVSS de 7,8 sobre 10. L’explotació exitosa d’estes vulnerabilitats podria permetre l’execució remota de codi, filtració de memòria, eludir característiques de seguretat i causar denegació de servici en l’aplicació.

S’han identificat cinc vulnerabilitats distintes en Adobe Commerce i Magento Open Source.

La més greu, CVE-2025-47110, es una vulnerabilitat de tipus XSS reflectida amb una puntuació CVSS de 9,1, que podria permetre l’execució remota de codi. A més, s’han corregit fallades d’autorització incorrecta (CVE-2025-43585, CVSS 8.2),que podrien permetre eludir característiques de seguretat.

Recursos afectats

Les actualitzacions de seguretat afecten les versions dels productes següents:

Adobe Acrobat Reader: Versions 25.001.20428 i anteriors per a Windows i  macOS .
Adobe Commerce i Magento Open Source: Versions 2.4.8, 2.4.7-p5 i anteriors, 2.4.6-p10 i anteriors, 2.4.5-p12 i anteriors, i 2.4.4-p13 i anteriors.

La llista completa de productes afectats i correccions pot consultar-se en https://helpx.adobe.com/security.html

Recomanacions

Adobe ha publicat versions actualitzades dels productes que corregixen les vulnerabilitats. Es recomana aplicar-les al més prompte possible.

Referències

• • https://www.securityweek.com/code-execution-flaws-haunt-adobe-acrobat-reader-adobe-commerce/
  • https://thehackernews.com/2025/06/adobe-releases-patch-fixing-254.html

Microsoft ha publicat la seua actualització de seguretat mensual per a juny de 2025, que inclou 66 vulnerabilitats que afecten una varietat de productes, incloent-hi una vulnerabilitat de dia zero activament explotada.

Anàlisi

En la versió d’este mes, Microsoft no ha observat cap explotació activa de les vulnerabilitats incloses.
De les onze entrades “crítiques”, nou són vulnerabilitats d’execució remota de codi (RCE) en servicis i aplicacions de Microsoft Windows, com el Servici d’Escriptori Remot de Microsoft Windows, Windows Schannel (Canal Segur), el servici proxy KDC, Microsoft Office, Word i SharePoint Server. Hi ha dos vulnerabilitats d’elevació de privilegis que afecten Windows NetLogon i Power Automate.

Entre les fallades corregides es destaquen:

CVE-2025-33053 – Vulnerabilitat d’execució remota de codi en WebDAV: una vulnerabilitat en el component WebDAV de Windows que permet a un atacant executar codi de manera remota si s’explota correctament. Esta vulnerabilitat ja estava sent utilitzada en atacs abans de la publicació del pegat, la qual cosa la classifica com una vulnerabilitat de dia zero.

CVE-2025-47966 – Exposició d’informació en Power automat: una vulnerabilitat que permet a un atacant no autoritzat accedir a informació sensible en Power automat, la qual cosa podria conduir a una escalada de privilegis.

Múltiples vulnerabilitats en Microsoft Office: Es van corregir 17 vulnerabilitats en Microsoft Office i productes relacionats, incloent 4 que Microsoft considera més propenses a ser explotades.

A més d’estes, es van corregir vulnerabilitats en altres productes com Microsoft Edge, .NET, i components de Windows.

Recursos afectats

Les actualitzacions cobrixen fallades, entre altres en:

• • • Microsoft Windows 10, 11 y Server
    • Microsoft Office y Microsoft 365 Apps
    • Microsoft Edge
    • Power Automate
    • .NET Framework
    • Windows WebDAV
    • Windows Remote Desktop
    • Windows Kernel
    • Microsoft Defender

Poden consultar el llistat complet de productes afectats i les vulnerabilitats en el butlletí oficial de Microsoft: June 2025 Security Updates

Recomanacions

• • Instal·lar l’actualització de seguretat corresponent. En la pàgina de Microsoft s’informa dels diferents mètodes per a dur a terme estes actualitzacions.

Referències

• • https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws
  • https://blog.talosintelligence.com/microsoft-patch-tuesday-june-2025
  • https://cyberscoop.com/microsoft-patch-tuesday-june-2025
  • https://www.securityweek.com/microsoft-patch-tuesday-covers-webdav-flaw-marked-as-already-exploited
  • https://hackread.com/june-2025-patch-tuesday-microsoft-bugs-active-0-day
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-junio-de-2025
  • https://msrc.microsoft.com/update-guide