En el evento Pwn2Own Berlín de este año, investigadores de seguridad demostraron exitosamente dos nuevas vulnerabilidades de día cero que afectaron el proceso de contenido del navegador Mozilla Firefox.
Estas vulnerabilidades (CVE-2025-4918 y CVE-2025-4919) se localizaron en el motor JavaScript de Firefox y posibilitaron el acceso a memoria fuera de los límites. Esto incrementa el riesgo de ejecución remota de código y la potencial exposición de datos confidenciales.
No obstante, es importante destacar que ninguno de los exploits logró evadir el entorno limitado de seguridad de Firefox, una medida crítica diseñada para prevenir que los atacantes obtengan control total sobre el sistema del usuario.
Mozilla actuó con celeridad, lanzando versiones parcheadas en todas las plataformas en cuestión de horas. Las versiones actualizadas incluyen Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1 y Firefox para Android.
Se recomienda encarecidamente a usuarios y administradores que realicen la actualización de inmediato, dado que estas vulnerabilidades fueron explotadas activamente durante la competencia y se hicieron de conocimiento público.
Ambas vulnerabilidades explotaron las debilidades del motor JavaScript SpiderMonkey:
- CVE-2025-4918: Esta falla involucraba un manejo inadecuado de los límites de la memoria al resolver objetos JavaScript Promise. Los atacantes podrían realizar lecturas o escrituras fuera de los límites, lo que podría provocar daños en la memoria o la ejecución de código arbitrario. La vulnerabilidad fue descubierta por Edouard Bochin y Tao Yan de Palo Alto Networks.
- CVE-2025-4919: este error se debió a un desbordamiento de enteros durante los cálculos del índice de matriz en rutinas de optimización, lo que provocó acceso fuera de límites y corrupción de la memoria. La vulnerabilidad fue identificada por Manfred Paul.
Ejemplo técnico: acceso fuera de límites en JavaScript:
javascript//
let arr = [1, 2, 3];
let idx = calculateIndex(); //
arr[idx] = 42; //
La vulnerabilidad requería que la víctima visitara una página web maliciosa, lo que resalta la importancia del aislamiento del proceso del navegador y el sandboxing para mitigar el impacto en el mundo real.
La respuesta a incidentes de Mozilla fue rápida y coordinada, e involucró a equipos globales de ingeniería, control de calidad y gestión de versiones.
Los parches se desarrollaron, probaron e implementaron el mismo día del anuncio del segundo exploit, continuando la tradición de mitigación rápida de Mozilla.
El año pasado, el equipo solucionó un error crítico dentro de las 21 horas posteriores a la divulgación.
Fundamentalmente, ninguno de los exploits logró escapar del sandbox de Firefox, un testimonio de las recientes mejoras arquitectónicas.
Mozilla confirmó que estas mejoras han reducido significativamente el riesgo de que el sistema se vea comprometido por vulnerabilidades del navegador, fortaleciendo la protección del usuario.
El equipo de seguridad de Mozilla anima a todos los usuarios a actualizar de inmediato y sigue comprometido con el refuerzo continuo de la arquitectura de seguridad de Firefox.
La compañía también invita a los investigadores de seguridad a participar en su programa de recompensas por errores y seguir las discusiones técnicas en curso en el blog Attack & Defense – Firefox Security Internals for Engineers, Researchers, and Bounty Hunters.
Recomendaciones:
- Actualice a Firefox 138.0.4, ESR 128.10.1 o ESR 115.23.1 inmediatamente.
- Los administradores pueden utilizar los QID 383252 y 383254 de Qualys para detectar activos vulnerables.
La prontitud y transparencia con la que Mozilla actuó en Pwn2Own 2025 refuerzan su compromiso con la seguridad de los usuarios y establecen un elevado estándar para la gestión de incidentes en el sector de los navegadores.
