Mozilla ha lanzado una actualización de emergencia para Firefox, corrigiendo dos vulnerabilidades zero-day que fueron explotadas durante el concurso de hacking Pwn2Own Berlin 2025. Las versiones afectadas incluyen Firefox 138.0.4, así como las ramas ESR (Extended Support Release) 128.10.1 y 115.23.1.
Estos fallos, catalogados como críticos, permitían a un atacante manipular la memoria del navegador mediante técnicas de out-of-bounds read/write, lo que podría derivar en la ejecución de código arbitrario.
Detalles de las vulnerabilidades
| CVE | Componente afectado | Impacto | Descubridores |
|---|---|---|---|
| CVE-2025-4918 | Motor SpiderMonkey (resolución de objetos Promise) | Corrupción de memoria | Edouard Bochin y Tao Yan (Palo Alto Networks) |
| CVE-2025-4919 | Optimización de sumas lineales en SpiderMonkey | Corrupción de memoria | Manfred Paul |
Ambos errores afectan al motor JavaScript de Firefox (SpiderMonkey), permitiendo que un atacante acceda a zonas de memoria no autorizadas. Aunque los exploits demostrados en Pwn2Own no lograron escapar del sandbox de Firefox, un atacante podría combinarlos con otra vulnerabilidad para lograr un mayor impacto.
¿Por qué son peligrosos estos fallos?
-
Demostración pública: Los investigadores recibieron $50,000 USD por cada vulnerabilidad en el concurso, lo que indica su gravedad.
-
Riesgo de re-utilización: El código de explotación ya está en manos de expertos, lo que aumenta la posibilidad de que sea adaptado por ciberdelincuentes.
-
Afectación amplia: Las versiones para Firefox Desktop, Android y ESR están comprometidas, por lo que todos los usuarios deben actualizar.
Recomendaciones de seguridad
-
Actualizar inmediatamente a Firefox ≥ 138.0.4 o las versiones ESR correspondientes.
-
Habilitar actualizaciones automáticas en entornos corporativos.
-
Monitorear registros de seguridad para detectar posibles intentos de explotación.
Más información
Conclusión: La rápida respuesta de Mozilla demuestra la importancia de mantener los navegadores actualizados. Los usuarios y empresas deben aplicar los parches lo antes posible para evitar posibles ataques.
