El 28 de mayo de 2025, Google y Mozilla anunciaron nuevas actualizaciones de seguridad para sus navegadores Chrome y Firefox. Estas actualizaciones, correspondientes a Chrome 137 y Firefox 139, corrigen un total de 21 vulnerabilidades, tres de ellas clasificadas como de alta gravedad. Aunque no se ha informado de que estas fallas estén siendo explotadas activamente, se recomienda aplicar las actualizaciones de forma inmediata.
Análisis
Las actualizaciones publicadas por Google y Mozilla abordan varias vulnerabilidades críticas que podrían permitir a un atacante ejecutar código arbitrario, causar bloqueos o comprometer la seguridad del sistema si se combinan con otras fallas.
En Chrome 137, se corrigen 11 fallos de seguridad, de los cuales ocho fueron reportados por investigadores externos. Dos de ellos son considerados de alta severidad:
- CVE-2025-5063: fallo use-after-free en Compositing.
- CVE-2025-5280: escritura fuera de límites en el motor JavaScript V8.
Estas fallas pueden derivar en la ejecución de código arbitrario o una fuga del sandbox si se explotan junto con otros errores del sistema. Además, se solucionaron cinco fallos de severidad media en componentes como Background Fetch API, FileSystemAccess API, Messages, BFCache y libvpx, y uno de baja severidad en Tab Strip.
En Firefox 139, se solucionaron 10 vulnerabilidades, incluyendo un error double-free de alta severidad en la biblioteca libvpx, que podría generar corrupción de memoria y un fallo explotable. También se resolvieron seis fallas de severidad media relacionadas con ataques de fuga entre orígenes (cross-origin), ejecución de código local, XS-Leaks y corrupción de memoria.
Mozilla también publicó actualizaciones para las versiones de soporte extendido (ESR) y Thunderbird:
- Firefox ESR 128.11: corrige ocho de estas vulnerabilidades.
- Firefox ESR 115.24: corrige cuatro fallas.
- Thunderbird 139: incluye parches para las diez vulnerabilidades.
- Thunderbird 128.11: soluciona ocho de ellas.
Recursos afectados
- Google Chrome, versiones inferiores a 137.0.7151.55/56 (Windows/macOS) y 137.0.7151.55 (Linux)
- Mozilla Firefox, versiones inferiores a 139
- Mozilla Thunderbird, versiones inferiores a 139
Recomendaciones
Actualizar Chrome a la versión 137.0.7151.55/56.
Actualizar Firefox a la versión 139 o a las versiones ESR correspondientes.
Actualizar Mozilla Thunderbird a la última versión disponible.
Referencias
https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities
https://www.securityweek.com/chrome-136-update-patches-vulnerability-with-exploit-in-the-wild/
https://www.securityweek.com/chrome-136-firefox-138-patch-high-severity-vulnerabilities
https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/