Posted on

Vulnerabilitats de seguretat corregides en Firefox 136

La Fundació Mozilla va publicar l’Avís de Seguretat de la Fundació Mozilla 2025-14, que aborda diverses vulnerabilitats de seguretat corregides en la versió Firefox 136. Aquestes vulnerabilitats afecten tant a la versió d’escriptori de Firefox com a la versió per a dispositius Android, i inclouen diversos errors de seguretat crítics, des de possibles fugides de sandbox fins a problemes de seguretat a la memòria.

Anàlisi

Les vulnerabilitats tenen un impacte variat, des de alt fins a baix, i poden ser explotades per atacants per executar codi arbitrari, enganyar els usuaris o realitzar atacs de clickjacking. Aquest document analitza les principals vulnerabilitats (CVE) reportades, els recursos afectats i les solucions disponibles.

    • CVE-2025-1930: AudioIPC StreamData – Ús després de lliberar memòria
      En sistemes Windows, un procés de contingut compromès podria utilitzar dades corruptes enviades a través d’AudioIPC per desencadenar un ús després de lliberar memòria en el procés del navegador. Aquest error podria haver permès una fuga de sandbox, la qual cosa hauria permès a un atacant executar codi fora de les restriccions del navegador. Per mitigar aquest problema, es recomana actualitzar a Firefox 136.
    • CVE-2025-1939: Tapjacking a les pestanyes personalitzades d’Android
      En la versió de Firefox per a Android, es va identificar una vulnerabilitat en l’ús d’animacions de transició en les pestanyes personalitzades. Aquest problema podria ser aprofitat per un atacant per enganyar l’usuari i fer-li atorgar permisos sensibles sense saber-ho, ocultant el que realment estava fent. Aquesta vulnerabilitat afecta la funcionalitat de les pestanyes personalitzades en Android i es soluciona amb l’actualització a Firefox 136.
    • CVE-2025-1931: Ús després de lliberar memòria en WebTransportChild
      Es va descobrir un error d’ús després de lliberar memòria en la part del procés de contingut d’una connexió WebTransport. Aquest problema podria portar a una caiguda explotable del navegador, permetent a un atacant executar codi maliciós o causar una interrupció del servei. L’error ha estat corregit en la versió Firefox 136, per la qual cosa és fonamental actualitzar.
    • CVE-2025-1932: Accés fora de límits a causa d’un comparador inconsistent en XSLT
      Un comparador inconsistent en el motor de XSLT podria haver permès l’accés fora de límits, cosa que podria haver estat explotada per un atacant per corrompre la memòria o realitzar altres accions malicioses. Aquest error afecta les versions de Firefox 122 i posteriors i ha estat solucionat en Firefox 136.
    • CVE-2025-1933: Corrupció de JIT en els valors de retorn de WASM i32 en CPU de 64 bits
      En sistemes de 64 bits, el compilador JIT podria haver utilitzat valors de memòria no inicialitzats en compilar els valors de retorn de WASM i32. Aquest problema podria haver conduït a la corrupció de memòria i a un comportament inesperat del navegador, cosa que podria haver estat aprofitada per executar codi maliciós. Aquest error ha estat solucionat en Firefox 136.
    • CVE-2025-1940: Tapjacking en Android Intent utilitzant opcions de selecció
      Un atacant podria haver aprofitat un error en el maneig de les opcions de selecció en Firefox per a Android per enganyar l’usuari i fer-li executar una aplicació externa inesperadament. Aquest tipus de tapjacking afecta la versió mòbil de Firefox i ha estat corregit en l’última actualització (Firefox 136).
    • CVE-2024-9956: Phishing de Passkey en el rang de Bluetooth
      A través de Firefox per a Android, un atacant dins del rang de Bluetooth podria haver utilitzat enllaços FIDO: per intentar enganyar l’usuari i fer-li utilitzar la seva passkey per iniciar sessió en el dispositiu de l’atacant. Això hauria permès que l’atacant s’autenticara en comptes alienes utilitzant la passkey de l’usuari. Aquest problema ha estat solucionat en Firefox 136.
    • CVE-2025-1941: Bypass de la configuració de la pantalla de bloqueig en Firefox Focus per a Android
      Baixes certes circumstàncies, un error podria haver permès que un usuari evitara la configuració d’autenticació prèvia en Firefox Focus per a Android. Aquest error podria haver permès a un atacant eludir l’opció de seguretat de requerir autenticació abans d’utilitzar l’aplicació. La vulnerabilitat ha estat corregida en Firefox 136.
    • CVE-2025-1935: Clickjacking en la barra d’informació de registerProtocolHandler
      Un lloc web podria haver utilitzat un atac de clickjacking per enganyar l’usuari i fer que es configurara una pàgina web com el gestor predeterminat d’un protocol URL personalitzat. Aquest error té un impacte baix i ha estat solucionat en Firefox 136.
    • CVE-2025-1936: Modificació en la interpretació de contingut d’un fitxer JAR
      A través d’una URL jar:, un atacant podria haver aprofitat un error en la interpretació del contingut dels fitxers JAR, afegint un %00 i una extensió falsa, cosa que podria haver permès amagar codi maliciós dins d’una extensió web. Aquest problema ha estat solucionat en Firefox 136.

Recursos afectats

    • Versions de Firefox anteriors a la 136

És important tenir en compte que aquestes vulnerabilitats afecten tant a Firefox en sistemes operatius Windows i Android, com a Firefox Focus en dispositius Android.

Recomanacions

La solució principal per a totes aquestes vulnerabilitats és l’actualització a Firefox 136, que aborda i corregeix els fallos de seguretat esmentats. Els usuaris han de assegurar-se de realitzar l’actualització per mitigar els riscos associats amb cadascuna de les CVE descrites

Referències

https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/

https://www.hkcert.org/security-bulletin/mozilla-products-multiple-vulnerabilities_20250305

Posted on

Actualització de seguretat d’Android de març 2025

Google ha abordat un total de 43 vulnerabilitats, de les quals dos s’estan explotant activament. Estes vulnerabilitats afecten la seguretat dels dispositius Android, i una és particularment greu, amb una puntuació CVSS de 7.8, la qual cosa indica un nivell de risc elevat. L’actualització de seguretat de març inclou pedaços per a solucionar problemes de diverses severitats, incloent-hi alguns que podrien permetre l’execució remota de codi, la qual cosa posa en perill la privacitat i la seguretat dels usuaris.

Anàlisi

    • CVE-2024-43093: esta vulnerabilitat es classifica com una escalada de privilegis en el marc d’Android. Permet als atacants obtindre un augment local de privilegis sense la necessitat de tindre privilegis addicionals, encara que requerix la interacció de l’usuari per a explotar-ho. Esta fallada té una puntuació CVSS de 7.8, la qual cosa la convertix en una de les més greus dins de les vulnerabilitats activament explotades.
    • CVE-2024-50302: encara que Google menciona esta vulnerabilitat, juntament amb l’anterior, com una de les explotades activament, no es proporcionen detalls extensius sobre la seua naturalesa. No obstant això, es destaca que també és objecte d’explotació limitada i dirigida.

Recursos afectats

Les vulnerabilitats afecten principalment el sistema Android i els components clau que formen la seua infraestructura, com ara:

    • Android Framework: diverses vulnerabilitats que afecten el marc de treball d’Android, amb un total de 9 fallades d’alta severitat i 10 de severitat crítica.
    • Nucli d’Android: tres fallades d’alta severitat que afecten el nucli del sistema operatiu.
    • Components de MediaTek i Qualcomm: vulnerabilitats que afecten els components d’estos dos fabricants importants, que sumen un total de 8 fallades d’alta severitat.

Recomanacions

    • Actualització immediata dels dispositius: es recomana als usuaris de dispositius Android, especialment aquells amb dispositius Pixel, que instal·len les actualitzacions de seguretat més recents tan prompte com estiguen disponibles. Els usuaris han d’estar atents a les actualitzacions emeses pels fabricants dels seus dispositius, ja que alguns pedaços poden tardar més temps a ser implementats.
    • Revisió de pedaços en el codi font: Google ha publicat els pedaços corresponents en el repositori del Projecte de codi obert d’Android, la qual cosa permet als fabricants de dispositius i desenrotlladors aplicar solucions a les vulnerabilitats.

Referèncias

https://cyberscoop.com/android-security-update-march-2025/

https://nvd.nist.gov/vuln/detail/CVE-2024-43093

https://nvd.nist.gov/vuln/detail/CVE-2024-50302

https://source.android.com/docs/security/bulletin/2025-03-01?hl=es-419

Posted on

Google reemplaçarà l’autenticació per SMS amb codis QR per a més seguretat

Google eliminarà l’autenticació multifactor (MFA) basada en codis SMS en Gmail, segons ha informat Forbes. Esta mesura respon als creixents atacs cibernètics que exploten esta tecnologia per a comprometre els comptes. Google no ha especificat la data exacta de la transició a este nou sistema, però ha instat els usuaris a estar atents a futures actualitzacions.

Un portaveu de l’empresa va explicar que esta decisió forma part de la seua estratègia per a abandonar l’ús de contrasenyes en favor de mètodes més segurs, com les claus d’accés. Així mateix, va destacar que els delinqüents han utilitzat diverses tàctiques, com l’enginyeria social i l’intercanvi de SIM, per a interceptar els codis d’accés enviats per SMS, la qual cosa ha portat Google a buscar alternatives més segures.

Els codis SMS, encara que útils, tenen vulnerabilitats que els ciberdelinqüents han sabut aprofitar. Un dels mètodes més comuns és l’engany als usuaris perquè revelen els seus codis d’un sol ús (OTP) a través d’estafes. Un altre és l’atac d’intercanvi de SIM, en el qual els atacants aconseguixen prendre el control del número de telèfon de la víctima i els permet rebre els missatges de verificació. A més, hi ha “bombament de trànsit”, en què els atacants manipulen els proveïdors de servicis per a generar OTP cap a línies prèmium sota el seu control i obtindre beneficis econòmics.

El paper dels codis QR en l’autenticació

En el seu lloc, Google implementarà un sistema basat en codis QR, que permetrà als usuaris escanejar la imatge amb el dispositiu mòbil per a completar la verificació. Este canvi dificultarà que els atacants enganyen les víctimes, ja que compartir un codi QR és més complicat que compartir un codi numèric. També eliminarà la dependència dels proveïdors de xarxa i reduirà el risc d’atacs d’intercanvi de SIM.

No obstant això, els codis QR no estan exempts de riscos. Experts en ciberseguretat han advertit sobre el qishing, una tècnica en la qual els ciberdelinqüents envien codis QR fraudulents que redirigixen a llocs maliciosos. En campanyes recents, investigadors de Trend Micro van detectar atacs en els quals els estafadors enviaven codis QR falsos i es feien passar per mètodes legítims d’autenticació.

Referència:

Posted on

Actualitzacions de Seguretat per a Chrome i Firefox

Google i Mozilla han llançat actualitzacions de seguretat per a les versions 133 de Chrome i 135 de Firefox, i han resolt vulnerabilitats d’alta severitat en la seguretat de la memòria. Estes vulnerabilitats podrien permetre l’execució remota de codi, i afectar la seguretat dels usuaris

Anàlisi

Les vulnerabilitats han sigut identificades com:

    • CVE-2025-0999 (Chrome): Desbordament de búfer en el motor V8 de JavaScript, possibilitat d’execució remota de codi. CVSS: 8.8
    • CVE-2025-1426 (Chrome): Desbordament de búfer en el component GPU de Chrome. CVSS: 8.8
    • CVE-2025-1414 (Firefox): Vulnerabilitats de seguretat de memòria que podrien portar a execució remota de codi. CVSS: 8.8

La vulnerabilitat més crítica en Chrome és un desbordament de búfer en la pila, identificada com CVE-2025-0999, en el motor V8 de JavaScript, que podria ser explotada per a aconseguir execució remota de codi.
Una altra vulnerabilitat en Chrome, CVE-2025-1426, és un desbordament de búfer en el component GPU. Les dos vulnerabilitats van ser reportades per investigadors externs.

En Firefox, la vulnerabilitat de seguretat de la memòria CVE-2025-1414 podria portar a l’execució de codi arbitrari.
Mozilla va destacar que alguns d’estos errors van mostrar indicis de corrupció de memòria.

Les puntuacions CVSS indiquen una vulnerabilitat d’alta gravetat que representa un risc considerable a causa del potencial d’explotació remota.

Recursos afectats

    • Les vulnerabilitats afecten les versions 133.0.6943.126/.127 de Chrome per a Windows i macOS, i a la versió 133.0.6943.126 per a Linux.
    • Firefox 135.0.1 també està afectat, amb pegats disponibles per a tots els sistemes operatius principals.

Recomanacions

    • Els usuaris han d’actualitzar els seus navegadors Chrome i Firefox a les últimes versions per a mitigar estes vulnerabilitats.

Google i Mozilla no han indicat que estes vulnerabilitats s’hagen explotat activament en l’entorn, però es recomana l’actualització immediata per a garantir la protecció.

Referències