Posted on by Seguridad CSIRT-CV

Actualització de seguretat en Chrome i Firefox

Google i Mozilla han llançat noves actualitzacions de seguretat per als navegadors Chrome i Firefox amb la finalitat de corregir múltiples vulnerabilitats de gravetat alta relacionades amb la gestió de memòria. Entre estes, destaquen fallades del tipus use-after-free, que poden permetre l’execució de codi maliciós, corrupció de dades o atacs de denegació de servici. Es recomana als usuaris que actualitzen els navegadors com més prompte millor per a mitigar estos riscos.

Anàlisi

Les vulnerabilitats corregides en estes actualitzacions afecten components crítics dels dos navegadors que exposen els usuaris a possibles atacs. En Chrome, Google ha solucionat dotze vulnerabilitats, entre les quals CVE-2025-0444 i CVE-2025-0445, que són fallades use-after-free en la biblioteca gràfica Skia i el motor JavaScript V8, respectivament. Estes fallades poden provocar corrupció de memòria i, si es combinen amb altres errors en parts privilegiades del navegador, podrien permetre l’execució de codi maliciós o inclús eludir la protecció de l’entorn controlat de proves (sandbox).

D’altra banda, Firefox 135 aborda diverses fallades semblants, incloent-hi CVE-2025-1009 i CVE-2025-1010, que són vulnerabilitats use-after-free en la Custom Highlight API i en el llenguatge de transformacions XSLT, cosa que podria permetre a atacants executar un codi arbitrari en el sistema de la víctima. A més, Mozilla va corregir CVE-2025-1016 i CVE-2025-1020, dos errors greus en la gestió de memòria que afecten Firefox, Thunderbird i les seues versions de suport estés (ESR), i que podrien derivar en l’execució de codi maliciós. Juntament amb estes fallades, l’actualització soluciona altres errors de gravetat mitjana i baixa que podrien facilitar atacs de suplantació d’identitat (spoofing), filtracions de privacitat i verificacions inadequades de certificats.

Recursos afectats

      • Chrome 133 en Windows, macOS i Linux
      • Firefox 135
      • Thunderbird 135
      • Firefox ESR 128.7 i 115.20

Recomanacions

Actualitzar els navegadors i clients de correu:
 
    • Chrome: Actualitzar a la versió 133.0.6943.53/54 en Windows y macOS, i 133.0.6943.53 en Linux.
    • Firefox: Instal·lar la versió 135.
    • Thunderbird: Actualitzar a 135 i, en el cas d´ESR, a 128.7 o 115.20.

Referències

https://www.securityweek.com/chrome-133-firefox-135-patch-high-severity-vulnerabilities/