Mozilla ha lanzado la versión 138 de Firefox, una actualización de seguridad crucial que corrige diversas vulnerabilidades de alta gravedad. Esta nueva versión también incorpora funcionalidades muy esperadas por los usuarios, incluyendo un sistema de gestión de perfiles optimizado.
La actualización, implementada el 29 de abril de 2025, responde a la identificación por parte de investigadores de seguridad de múltiples fallos críticos. Estos fallos podrían haber sido explotados por atacantes para escalar privilegios dentro del sistema o para eludir los mecanismos de seguridad establecidos.
El Aviso de seguridad de la Fundación Mozilla detalla cuatro vulnerabilidades de alto impacto remediadas en esta versión.
Los problemas más preocupantes incluyen una vulnerabilidad de escalada de privilegios, una falla de corrupción de memoria y una omisión de aislamiento de procesos.
CVE-2025-2817, descubierto por el investigador de seguridad Dong-uk Kim (@justlikebono), reveló una grave vulnerabilidad de escalada de privilegios en el mecanismo de actualización de Firefox.
La falla permitió que los procesos de usuario de integridad media interfirieran con los actualizadores a nivel del SISTEMA al manipular el comportamiento de bloqueo de archivos.
«Al inyectar código en el proceso con privilegios del usuario, un atacante podría eludir los controles de acceso previstos, permitiendo operaciones de archivos a nivel de SISTEMA en rutas controladas por un usuario sin privilegios y permitiendo la escalada de privilegios», explicó Mozilla en su aviso.
Para los usuarios de macOS, CVE-2025-4082 solucionó la corrupción de la memoria del atributo del sombreador WebGL que podría desencadenar una lectura fuera de los límites.
Cuando se combina con otras vulnerabilidades, esta falla podría usarse como arma para aumentar los privilegios en los sistemas afectados.
Otra vulnerabilidad importante, CVE-2025-4083, informada por Nika Layzell, implicó una omisión del aislamiento del proceso utilizando enlaces URI en marcos de origen cruzado.
Esta vulnerabilidad surgió del manejo inadecuado de javascript: URI, lo que potencialmente permite que el contenido se ejecute en el proceso del documento de nivel superior en lugar del marco previsto, lo que podría permitir un escape de la zona de pruebas.
Mozilla también corrigió errores de seguridad de la memoria rastreados como CVE-2025-4092, que afectaban tanto a Firefox 137 como a Thunderbird 137.
Estos errores mostraron evidencia de corrupción de memoria y potencialmente podrían explotarse para ejecutar código arbitrario.
Más allá de las mejoras de seguridad, Firefox 138 introduce varias mejoras centradas en el usuario, entre las que destaca un muy esperado sistema de gestión de perfiles.
Esta característica permite a los usuarios crear perfiles separados para compartimentar sus actividades de navegación, manteniendo los marcadores, pestañas, contraseñas e historial de navegación segregados entre diferentes contextos de uso.
La función se está implementando gradualmente, pero se puede habilitar inmediatamente alternando la preferencia «browser.profiles.enabled» en about:config.
El Centro para la Seguridad de Internet (CIS) ha calificado estas vulnerabilidades como de alto riesgo para entidades gubernamentales y comerciales.
CISA declaró en su aviso que “actualmente no hay informes de que estas vulnerabilidades estén siendo explotadas en la naturaleza”, pero recomendó que los usuarios apliquen actualizaciones inmediatamente después de las pruebas adecuadas.
Se recomienda encarecidamente a los usuarios que actualicen a Firefox 138 lo antes posible. Además de la versión estándar de Firefox, Mozilla actualizó Firefox ESR a las versiones 115.23 y 128.10 con las mismas correcciones de seguridad.
