Category: Actualitat

S’han publicat actualitzacions de seguretat per a Google Chrome i Mozilla Firefox, que corregixen múltiples vulnerabilitats de criticitat alta en els dos navegadors. Estes fallades afecten components crítics com el motor JavaScript/WebAssembly V8 en Chrome i sistemes d’aïllament i memòria en Firefox, i podrien permetre des d’accés no autoritzat i execució remota de codi fins a fuita d’entorn controlat de proves (sandbox) o corrupció de memòria si són explotades amb èxit en entorns reals. 

Anàlisi 

Google Chrome 144 – Vulnerabilitats de criticitat alta

CVE-2026-0899: Out-of-Bounds Memory Access (V8)

Una vulnerabilitat d’accés fora de límits en el motor V8 JavaScript/WebAssembly de Chrome que pot permetre corrupció de memòria, potencialment facilitant l’execució arbitrària de codi o comportament imprevisible de l’aplicació.

CVE-2026-0900: Inappropriate Implementation (V8)

Una fallada d’implementació inadequada també en V8, que podria derivar en una debilitat de seguretat explotable per a comprometre la integritat del procés del navegador.

CVE-2026-0901: Inappropriate Implementation (Blink)

Una vulnerabilitat en el motor de renderitzat Blink que pot permetre a un atacant manipular funcionalitats internes del navegador de manera insegura.

El paquet de correccions de Chrome 144 també inclou diverses falles de severitat mitjana i baixa en components com a descàrregues, credencials digitals, xarxa i ANGLE.

Mozilla Firefox 147 – Vulnerabilitats de criticitat alta

Sandbox escape flaws (Graphics & Messaging System)

Quatre fallades d’alta severitat permeten trencar l’aïllament de l’entorn controlat de proves (sandbox) de Firefox en els components de gràfics i missatgeria, la qual cosa podria permetre que codi maliciós eixira de l’entorn confinat del navegador.

Mitigation bypass en DG

Una debilitat que permet eludir mesures de mitigació en el Model d’Objectes del Document (DOM), augmentant el risc davant d’altres vulnerabilitats.

Use-after-free en IPC

Una fallada de tipus use-after-free (ús després d’alliberar memòria) en la comunicació entre processos (IPC) que pot resultar en corrupció de memòria i execució de codi arbitrari.

Memory safety bugs

Diverses vulnerabilitats relacionades amb la seguretat de la memòria que, si s’exploten en combinació, podrien permetre des d’execució de codi fins a inestabilitat del navegador.

A més, Firefox 147 corregix diversos problemes de severitat mitjana i baixa en àrees com xarxes, motor JavaScript, maneig de gràfics, XML i DG

Recomanacions:

Google Chrome 144

Components principals: V8 (JavaScript/WebAssembly), Blink (renderitzat)

Versions: Chrome 144.0.7559.59 en Linux/Mac/Windows

Mozilla Firefox 147

Components principals: Graphics, Messaging System, DOM, IPC i subsistemes de memòria

Versions: Firefox 147 (inclou també Firefox ESR 140.7 i Firefox ESR 115.32 amb moltes de les mateixes correccions)

Es recomana instal·lar les actualitzacions quan estiguen disponibles

Referències: 

• • https://www.securityweek.com/chrome-144-firefox-147-patch-high-severity-vulnerabilities/

S’han identificat múltiples vulnerabilitats crítiques en productes de Fortinet, incloses fallades d’execució remota de codi (RCE) i fallades d’autenticació/bypass de seguretat, algunes de les quals ja han sigut explotades en sistemes reals. Estes vulnerabilitats afecten una àmplia gamma de dispositius de seguretat i comunicacions, com FortiOS, FortiProxy, FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera, i poden permetre des de l’execució arbitrària de codi fins a l’accés com a administrador sense credencials vàlides. L’impacte potencial va des de la pèrdua de confidencialitat i integritat fins al compromís total de dispositius de xarxa si s’exploten amb èxit.

Anàlisi 

Destaquen 2 vulnerabilitats crítiques:

CVE-2025-32756: Stack-Based Buffer Overflow – Execució remota de codi

Una vulnerabilitat de desbordament de memòria intermèdia basada en pila que afecta múltiples productes de Fortinet, inclosos FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera. Un atacant remot podria enviar sol·licituds HTTP especialment construïdes que desencadenen un desbordament de pila, la qual cosa permetria l’execució arbitrària de codi o ordes en els dispositius vulnerables sense autenticació. Esta vulnerabilitat ha sigut documentada amb un CVSS v3.1 de 9.8, i s’ha confirmat la seua explotació, particularment en dispositius FortiVoice.

CVE-2025-22252: Bypass d’autenticació en FortiOS/FortiProxy/TACACS+

Una vulnerabilitat de falta d’autenticació per a una funció crítica en FortiOS, FortiProxy i FortiSwitchManager (quan usen autenticació TACACS+ amb servidor remot configurat amb autenticació ASCII) pot permetre que un atacant amb coneixement d’un compte d’administrador existent accedisca al dispositiu com a administrador vàlid sense passar pel procés d’autenticació normal. Este tipus de bypass combinat amb la possibilitat d’execució d’ordes col·loca a esta vulnerabilitat en la categoria d’accés no autoritzat amb elevació de privilegis.

Recomanacions:

Els productes i versions afectats són:

• • FortiVoice (diverses versions fins a 7.2.0, 7.0.x i 6.4.x)

  • FortiMail (diverses branques de 7.x)

  • FortiNDR (totes les versions llistades)

  • FortiRecorder (versions 6.4.x, 7.0.x, 7.2.x)

  • FortiCamera (sèries 1.1.x, 2.0.x i 2.1.x)

  • FortiOS (7.4.x, 7.6.x)

  • FortiProxy (7.6.x, 7.4.x)

• • FortiSwitchManager (7.2.x)

Es recomana aplicar immediatament les actualitzacions de microprogramari i pedaços disponibles per a tots els dispositius de Fortinet afectats.

Referències: 

• • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-fortinet-0

Introducció

Adobe ha publicat un butlletí de seguretat que aborda una vulnerabilitat crítica en les dependències del producte que podria permetre l’execució arbitrària de codi. Les versions afectades de ColdFusion inclouen ColdFusion 2025 (Update 5 i anteriors) i ColdFusion 2023 (Update 17 i anteriors) en totes les plataformes. 

Anàlisi 

CVE-2025-66516: Apache Tika XML External Entity (XXE) / Execució arbitrària de codi

L’actualització de ColdFusion inclou un pedaç per a la vulnerabilitat CVE-2025-66516, una fallada crítica a la biblioteca Apache Tika que s’usa com a dependència dins de ColdFusion. Esta fallada permet la injecció d’entitats externes XML (XXE) que podria explotar-se en processar contingut específicament elaborat, que conduiria a l’execució arbitrària de codi amb les mateixes credencials o context que el procés de ColdFusion. Atés que este component s’invoca internament en manejar uns certs formats d’arxiu (per exemple, XFA dins de PDF), un atacant capaç de subministrar dades malicioses podria aconseguir execució de codi no autoritzat en el servidor afectat.

Recomanacions:

Actualitzar immediatament a les versions corregides de ColdFusion (2025 Update 6 o 2023 Update 18)

Referències: 

• • https://helpx.adobe.com/security/products/coldfusion/apsb26-12.html

Introducció

Microsoft ha corregit 114 vulnerabilitats en el seu butlletí de seguretat de gener de 2026, incloses 3 vulnerabilitats zero-day, una de les quals està sent explotada activament. Estes vulnerabilitats inclouen des de divulgació d’informació sensible i elevació de privilegis fins a bypass de característiques de seguretat i errors que podrien permetre l’execució de codi remota. Les fallades afecten múltiples components de Windows i programari associat, i diverses categories de risc estan representades, amb una gran proporció de vulnerabilitats d’elevació de privilegis i execució remota de codi.

Anàlisi 

Destaquen les 3 vulnerabilitats zero-day:

CVE-2026-20805: Desktop Window Manager Information Disclosure Vulnerability

Una vulnerabilitat de divulgació d’informació en el Desktop Window Manager (DWM), activament explotada. Un atacant amb accés autoritzat local podria aprofitar esta fallada per a llegir adreces de memòria del procés associat al port ALPC remot, la qual cosa pot revelar informació interna útil per a posteriors vectors d’atac.

CVE-2026-21265: Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Esta vulnerabilitat ha sigut públicament divulgada, i està relacionada amb la caducitat d’uns certs certificats d’arrancada segura (Secure Boot). Els certificats emesos en 2011 eren pròxims a la seua data d’expiració, la qual cosa podria permetre a un atacant eludir les proteccions de Secure Boot en sistemes no actualitzats. El pedaç renova estos certificats per a restaurar la cadena de confiança i mantindre la verificació de components d’arrancada.

CVE-2023-31096: Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

Esta vulnerabilitat afecta el controlador de tercers Agere Soft Modem. Explotacions prèvies permetien l’escalada de privilegis administratius (SYSTEM). En l’actualització d’este mes, Microsoft ha eliminat completament els controladors vulnerables (agrsm64.sys i agrsm.sys) dels sistemes compatibles per a mitigar el risc.

Recomanacions:

Aplicar les actualitzacions de Microsoft quan estiguen disponibles

Referències: 

• • https://msrc.microsoft.com/update-guide/

  • https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2026-patch-tuesday-fixes-3-zero-days-114-flaws/

  • https://www.darkreading.com/application-security/microsofts-starts-2026-bang-zero-day