Publicado el por Seguridad CSIRT-CV

Actualización de Seguridad en Chrome y Firefox

Google y Mozilla han lanzado nuevas actualizaciones de seguridad para los navegadores Chrome y Firefox con el fin de corregir múltiples vulnerabilidades de alta gravedad relacionadas con la gestión de memoria. Entre ellas, destacan fallas del tipo use-after-free, que pueden permitir la ejecución de código malicioso, corrupción de datos o ataques de denegación de servicio. Se recomienda a los usuarios actualizar sus navegadores lo antes posible para mitigar estos riesgos.

Análisis

Las vulnerabilidades corregidas en estas actualizaciones afectan componentes críticos de ambos navegadores, exponiendo a los usuarios a posibles ataques. En Chrome, Google ha solucionado 12 vulnerabilidades, entre ellas CVE-2025-0444 y CVE-2025-0445, que son fallos use-after-free en la biblioteca gráfica Skia y el motor JavaScript V8, respectivamente. Estas fallas pueden provocar corrupción de memoria y, si se combinan con otros errores en partes privilegiadas del navegador, podrían permitir la ejecución de código malicioso o incluso eludir la protección del entorno aislado (sandbox).

Por otro lado, Firefox 135 aborda varias fallas similares, incluyendo CVE-2025-1009 y CVE-2025-1010, que son vulnerabilidades use-after-free en la Custom Highlight API y en el lenguaje de transformaciones XSLT, lo que podría permitir a atacantes ejecutar código arbitrario en el sistema de la víctima. Además, Mozilla corrigió CVE-2025-1016 y CVE-2025-1020, dos errores graves en la gestión de memoria que afectan a Firefox, Thunderbird y sus versiones de soporte extendido (ESR), y que podrían derivar en la ejecución de código malicioso. Junto con estas fallas, la actualización soluciona otros errores de gravedad media y baja que podrían facilitar ataques de suplantación de identidad (spoofing), filtraciones de privacidad y verificaciones inadecuadas de certificados.

Recursos afectados

      • Chrome 133 en Windows, macOS y Linux
      • Firefox 135
      • Thunderbird 135
      • Firefox ESR 128.7 y 115.20

Recomendaciones

Actualizar los navegadores y clientes de correo:
 
    • Chrome: Actualizar a la versión 133.0.6943.53/54 en Windows y macOS, y 133.0.6943.53 en Linux.
    • Firefox: Instalar la versión 135.
    • Thunderbird: Actualizar a 135 y, en el caso de ESR, a 128.7 o 115.20.

Referencias

https://www.securityweek.com/chrome-133-firefox-135-patch-high-severity-vulnerabilities/