Mozilla ha lanzado Firefox 135.0.1, una actualización de estabilidad y seguridad que aborda una vulnerabilidad de seguridad de memoria de alta gravedad (CVE-2025-1414) que exponía a los usuarios a posibles ataques de ejecución remota de código (RCE).
El parche resuelve fallas críticas en Firefox 135.0, que podrían haber permitido a los atacantes explotar la corrupción de la memoria y comprometer los sistemas.
Este comunicado subraya los esfuerzos continuos de Mozilla para mitigar las vulnerabilidades del navegador en medio de crecientes amenazas cibernéticas dirigidas a la infraestructura web.
CVE-2025-1414: descripción general de la vulnerabilidad
La vulnerabilidad, clasificada como CWE-119 (corrupción de memoria), se debió a comprobaciones de límites inadecuadas durante el procesamiento de contenido HTML.
Los atacantes podrían crear sitios web maliciosos para provocar daños en la memoria, lo que permitiría la ejecución de código arbitrario en sistemas sin parches.
Los errores de seguridad de la memoria en el código base de Firefox 135.0 mostraron evidencia clara de corrupción de memoria explotable, y Mozilla reconoció que actores de amenazas sofisticados podrían convertir estos fallos en armas para eludir los protocolos de seguridad y secuestrar las sesiones de los usuarios.
El Sistema de Puntuación de Vulnerabilidad Común (CVSS v4.0) calificó esta falla con 6.1 (Alta) debido a su vector de explotación basado en la red y su potencial para comprometer todo el sistema.
Andrew McCreight, el ingeniero de Mozilla al que se le atribuye la identificación del problema, señaló que las fallas tenían su origen en el manejo de Firefox de los eventos JavaScript y DOM, lo que sin darse cuenta permitía el acceso a la memoria entre compartimentos.
Estas vulnerabilidades son particularmente peligrosas en los navegadores, donde los mecanismos de espacio aislado están diseñados para aislar procesos.
Una explotación exitosa podría conducir al robo de credenciales, la implementación de malware o el movimiento lateral dentro de las redes empresariales.
Actualizaciones destacadas y correcciones adicionales
Más allá de parchear CVE-2025-1414, Firefox 135.0.1 resuelve varios errores funcionales que afectan la experiencia del usuario:
- Menús desplegables que no responden: los sitios que dependen de comportamientos específicos de eventos de movimiento del mouse se enfrentan a problemas de usabilidad, ahora rectificados mediante una lógica de manejo de eventos revisada.
- Errores de desplazamiento de etiquetas de anclaje: la posición de desplazamiento incorrecta al navegar a través de etiquetas de anclaje se corrigió refinando los procesos de recalibración del diseño.
- Fallos de restauración de sesión: una regresión que impidió a los usuarios restaurar ventanas/pestañas cerradas después de actualizar desde versiones anteriores de Firefox se solucionó solucionando los conflictos de secuencias de comandos de migración.
Mozilla también mejoró la seguridad para los usuarios con motores de búsqueda personalizados, resolviendo fallas causadas por archivos de íconos de gran tamaño durante las actualizaciones. Estas correcciones, aunque menos severas que los parches de seguridad de la memoria, resaltan el enfoque iterativo del navegador para equilibrar el rendimiento y la seguridad.
Mitigación y mejores prácticas
Se insta a los usuarios a actualizar inmediatamente a través de Menú > Ayuda > Acerca de Firefox o descargar la última versión de los canales oficiales de Mozilla.
Las empresas deben priorizar la implementación del parche en todos los puntos finales, particularmente en sistemas que manejan datos confidenciales.
Los administradores pueden mitigar aún más los riesgos restringiendo el acceso a sitios web que no son de confianza y empleando la segmentación de la red para limitar el movimiento lateral posterior a la explotación.
Para los desarrolladores, este incidente reitera la importancia de realizar pruebas rigurosas de fuzz y análisis estático para identificar errores en el manejo de la memoria antes de la implementación.
Mientras tanto, los usuarios finales deben permanecer atentos y garantizar que las actualizaciones automáticas estén habilitadas para recibir correcciones críticas con prontitud.
