Category: Actualitat

Apple ha llançat actualitzacions crítiques per als seus sistemes operatius iOS i macOS, abordant dos vulnerabilitats de “dia zero” que van ser activament explotades en atacs dirigits a dispositius iPhone i Mac. Estes vulnerabilitats, descobertes recentment, podrien permetre a atacants executar codi maliciós de manera remota i comprometre la seguretat dels dispositius afectats.

Anàlisi

Les vulnerabilitats corregides inclouen un error en WebKit (el motor de renderitzat de Safari) i un altre relacionat amb la gestió de memòria en el sistema operatiu.

Vulnerabilitats identificades:

• • CVE-2025-31200 en CoreAudio va ser descoberta per Apple i l’Equip d’Anàlisi d’Amenaces de Google. El processament d’una seqüència d’àudio en un arxiu multimèdia creat amb finalitats malicioses pot provocar l’execució de codi. Apple té coneixement d’un informe que indica que este problema podria haver sigut explotat en un atac extremadament sofisticat contra individus específics en iOS. Es va solucionar un problema de corrupció de memòria millorant la comprovació de límits. La companyia va afirmar que el TAG (Grup d’Anàlisi d’Amenaces) de Google va informar del problema.

• • CVE-2025-31201 en RPAC mitjançant la qual un atacant amb capacitat de lectura i escriptura arbitrària podria eludir l’autenticació de punter. Apple té coneixement d’un informe que indica que este problema podria haver sigut explotat en un atac extremadament sofisticat contra individus específics en iOS. Este problema es va solucionar eliminant el codi vulnerable.

Les dos vulnerabilitats han sigut explotades activament en atacs dirigits, la qual cosa implica que actors maliciosos ja estan utilitzant estes fallades per a accedir als dispositius afectats. Encara que Apple no ha proporcionat detalls específics sobre els atacs, s’han observat casos d’espionatge i robatori de dades.

Recursos afectats

• • Dispositius iPhone i iPad amb versions de iOS anteriors a la versió 16.4.
  • Computadores Mac amb versions de macOS anteriors a la versió 13.4.
  • Aplicacions de tercers que utilitzen WebKit o servicis de navegació web en estos dispositius també poden estar en risc d’explotació si no estan actualitzades.

Recomanacions

Els usuaris de dispositius Apple han d’actualitzar a l’última versió de iOS (16.4 o superior) i macOS (13.4 o superior) per a corregir estes vulnerabilitats.

Referències

• • https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-exploited-in-targeted-iphone-attacks/
  • https://support.apple.com/en-us/122282
  • https://www.securityweek.com/apple-pushes-ios-macos-patches-to-quash-two-zero-days/
•  

Oracle ha anunciat el llançament de 378 nous pedaços de seguretat com a part de la seua segona actualització de pedaços crítics (CPU) de 2025, incloses 255 correccions per a vulnerabilitats que es poden explotar de manera remota sense autenticació.

Anàlisi

S’han identificat aproximadament 180 CVE únics en la CPU d´abril de 2025 d’Oracle que inclou 40 pedaços de seguretat que resolen vulnerabilitats de gravetat crítica.

Oracle Communications va rebre la major quantitat de correccions de seguretat, 103, inclosos 82 pedaços per a errors que poden ser explotats per atacants remots no autenticats.

El següent en la llista és MySQL, que va rebre 43 nous pedaços de seguretat (2 per vulnerabilitats no autenticades i explotables de manera remota), seguit per Aplicacions de comunicacions (42 – 35), Aplicacions de servicis financers (34 – 22) i Fusion Middleware (31 – 26).

Oracle també va llançar correccions de seguretat per a E-Business Suite (16 pedaços nous, 11 per a defectes explotables de manera remota sense autenticació), Analytics (15 – 11), Retail Applications (11 – 11), JD Edwards (8 – 5), Construcció i enginyeria (7 – 6), Servidor de base de dades (7 – 3), Comerç (6 – 5) i Java ES (6 – 5).

Es van llançar alguns pedaços per a Enterprise Manager, ferramentes de suport, GoldenGate, Siebel CRM, PeopleSoft, automatització de polítiques, aplicacions d’aliments i begudes, aplicacions d’hospitalitat, Hyperion, cadena de subministrament, virtualització, base de dades en memòria TimesTen, aplicacions d’utilitats i sistemes.

Autonomous Health Framework, Graph Server i Client, Insurance Applications, Essbase i Secure Backup van rebre un pedaç cada un.

Addicionalment va anunciar correccions per a CVE de tercers no explotables. Per a altres productes, les correccions aborden CVE addicionals i CVE no explotables.

Dimarts, també va publicar el Butlletí de tercers de Solaris d’abril de 2025, que conté 16 nous pedaços de seguretat (14 per a falles no autenticades i explotables de manera remota), i el Butlletí de Linux d’abril de 2025, que enumera 48 correccions per a errors d’Oracle Linux resolts i anunciats en l’últim mes i que s’actualitzarà durant dos mesos per a incloure nous CVE.

Recursos afectats

Productes Oracle esmentats en els butlletins disponibles en les referències.

Recomanacions

Es recomana als clients d’Oracle que apliquen els pedaços al més prompte possible, ja que s’ha observat quins actors d’amenaces exploten vulnerabilitats d’Oracle per a les quals s’han publicat correccions però no s’hi han aplicat.

Referències

• • https://www.securityweek.com/oracle-patches-180-vulnerabilities-with-april-2025-cpu/
  • https://www.oracle.com/security-alerts/cpuapr2025.html
  • https://www.oracle.com/security-alerts/linuxbulletinapr2025.html
•  

Google i Mozilla van anunciar el dimarts actualitzacions de seguretat per a Chrome 135 i Firefox 137 que aborden vulnerabilitats crítiques i d’alta gravetat potencialment explotables.

Anàlisi

• • Google Chrome

Es van llançar les versions 135.0.7049.95/.96 de Chrome per a Windows i macOS i la versió 135.0.7049.95 per a Linux amb correccions per a dos vulnerabilitats de seguretat de memòria informades per investigadors externs.

La primera, identificada com CVE-2025-3619, es descriu com un problema crític de desbordament de memòria de pila en còdecs. La segona és CVE-2025-3620, un error d’ús després de l’alliberament en USB.

Si bé Google no ha compartit detalls específics sobre cap de les vulnerabilitats, les dos podrien ser explotades per atacants amb coneixement de patrons d’assignació de memòria per a executar codi arbitrari, generalment convencent a un usuari de visitar una pàgina web dissenyada específicament per a això.

• • Mozilla Firefox

Firefox es va actualitzar a la versió 137.0.2 en tots els sistemes operatius per a resoldre CVE-2025-3608,

una condició de carrera d’alta gravetat en nsHttpTransaction, el component que maneja les transaccions HTTP.

Segons Mozilla, el defecte de seguretat podria haver sigut explotat per a causar corrupció en la memòria, la qual cosa podria haver obert la porta a una major explotació.

• • Mozilla Thunderbird y Thunderbird ESR

Dimarts, Mozilla també va anunciar el llançament de Thunderbird 137.0.2 i Thunderbird ESR 128.9.2 amb correccions per a dos vulnerabilitats d’alta gravetat i una vulnerabilitat de gravetat mitjana.

Les vulnerabilitats d’alta gravetat, identificades com CVE-2025-3522 i CVE-2025-2830, són vulnerabilitats de divulgació d’informació que podrien provocar que s’exposen credencials de Windows xifrades o una llista de directori de /tmp.

La vulnerabilitat CVE-2025-3522 consistix en el fet que, en manejar arxius adjunts allotjats externament, l’URL al qual Thunderbird accedix per a determinar la grandària de l’arxiu adjunt no està validat ni desinfectat i podria fer referència a recursos interns.

CVE-2025-2830 es pot explotar a través de noms d’arxius mal formats per a adjunts en missatges multicomunicats per a enganyar el client de correu electrònic perquè incloga una llista de directori /tmp quan un missatge s’edita com un missatge nou o es reenvia.

Recursos afectats

• • Google Chrome en versions anteriors a la 135.0.7049.95/.96 en Windows i macOS i 135.0.7049.95 per a Linux.
  • Mozilla Firefox en versions anteriors a la 137.0.2.
  • Mozilla Thunderbird en versions anteriors a la 137.0.2.
  • Mozilla Thunderbird ESR en versions anteriors a la 128.9.2.

Recomanacions

Ni Google ni Mozilla esmenten que estes vulnerabilitats s’estiguen explotant indiscriminadament. No obstant això, es recomana als usuaris instal·lar les actualitzacions al més prompte possible:

• • Google Chrome 135.0.7049.95/.96 per a Windows i macOS i 135.0.7049.95 per a Linux.
  • Mozilla Firefox 137.0.2.
  • Mozilla Thunderbird 137.0.2.
  • Mozilla Thunderbird ESR 128.9.2.

Referències

• • https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

Autodesk ha informat de 4 vulnerabilitats de severitat alta, que es podrien aprofitar per a provocar un bloqueig, danyar dades o executar codi arbitrari en el context del procés actual.

Anàlisi

Les vulnerabilitats identificades són les següents:

• • CVE-2025-1276 afectaria la confidencialitat, integritat o disponibilitat de les dades de l’usuari o dels recursos de processament. Un arxiu DWG creat amb finalitats malicioses, en analitzar-se mitjançant unes certes aplicacions d’Autodesk, pot forçar l’escriptura fora de límits. El ciberdelinqüent necessita la interacció de l’usuari, una vegada aconseguit, l’atacant pot provocar bloquejos, danys en les dades o executar codi arbitrari.
  • Les vulnerabilitats CVE-2025-1273, CVE-2025-1656 y CVE-2025-1277 permeten que un PDF creat amb finalitats malintencionades, en vincular-se o importar-se a aplicacions d’Autodesk, puga forçar un desbordament de pila i provocar bloquejos, lectura de dades confidencials o execució de codi arbitrari.

Recursos afectats

• • Autodesk Advance Steel versions 2023, 2024 i 2025;
  • Autodesk AutoCAD versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Architecture versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Electrical versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Map 3D versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Mechanical versions 2023, 2024 i 2025;
  • Autodesk AutoCAD MEP versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Plant 3D versions 2023, 2024 i 2025;
  • Autodesk AutoCAD LT versions 2023, 2024 i 2025;
  • Autodesk Civil 3D versions 2023, 2024 i 2025;
  • Autodesk Infrastructure Parts Editor versió 2025;
  • Autodesk Inventor versió 2025;
  • Autodesk Navisworks Manage versió 2025;
  • Autodesk Navisworks Simulate versió 2025;
  • Autodesk Revit versió 2025;
  • Autodesk Vault Basic Client versió 2025.

Recomanacions

Autodesk recomana als usuaris dels productes afectats que instal·len les últimes versions a través d´Autodesk Access o Autodesk Account. També es recomana acceptar solament arxius de fonts de confiança.

Per a mitigar la vulnerabilitat CVE-2025-1276 actualitzar a les versions següents:

• • Autodesk Advance Steel: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Architecture: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Electrical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Map 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Mechanical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD MEP: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Plant 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD LT: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Civil 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Infrastructure Parts Editor: RealDWG v2025.1.2;
  • Autodesk Inventor: RealDWG v2025.1.2;
  • Autodesk Navisworks Manage: RealDWG v2025.1.2;
  • Autodesk Navisworks Simulate: RealDWG v2025.1.2;
  • Autodesk Revit: RealDWG v2025.1.2;
  • Autodesk Vault Basic Client: RealDWG v2025.1.2.

Per a mitigar les vulnerabilitats identificades com CVE-2025-1273, CVE-2025-1656 i CVE-2025-1277, actualitzar a la versió següent:

• • Autodesk Revit: v2025.4.1.

Referències

• • https://www.incibe.es/empresas/avisos/varias-vulnerabilidades-encontradas-en-productos-de-autodesk
  • PDF Vulnerabilities in Certain Autodesk Desktop Products
  • DWG Vulnerability in Certain Autodesk Desktop Products