La vulnerabilidad, identificada como CVE-2025-47176, se hizo pública el 10 de junio de 2025. Ha sido clasificada con una gravedad de «Importante» y posee una puntuación CVSS de 7.8.
Esta falla de seguridad afecta a la popular aplicación de correo electrónico, presentando riesgos significativos tanto para empresas como para usuarios individuales. Su peligrosidad radica en que su explotación solo requiere privilegios de bajo nivel y no necesita interacción del usuario una vez que se activa.
Vulnerabilidad crítica de corrupción de memoria (CVE-2025-49709)
La primera vulnerabilidad, designada como CVE-2025-49709, representa un importante problema de seguridad dentro del sistema de renderizado de lienzo de Firefox.
El investigador de seguridad Yannis Juglaret descubrió que ciertas operaciones de Canvas podrían provocar daños en la memoria, una condición peligrosa que puede provocar un comportamiento impredecible del navegador, fallas o violaciones de seguridad potencialmente explotables.
La vulnerabilidad afecta específicamente la forma en que Firefox maneja las superficies del lienzo, que son componentes fundamentales utilizados para representar gráficos, animaciones y elementos visuales interactivos en páginas web.
Las vulnerabilidades de corrupción de memoria son particularmente preocupantes porque pueden permitir que actores malintencionados ejecuten código arbitrario o provoquen ataques de denegación de servicio.
Cuando las operaciones de lienzo provocan daños en la memoria, el sistema de administración de memoria del navegador se ve comprometido, lo que genera problemas de integridad de los datos que pueden derivar en una inestabilidad más amplia del sistema.
Los elementos de Canvas son omnipresentes en las aplicaciones web modernas, lo que hace que esta vulnerabilidad sea especialmente importante para los usuarios que interactúan con frecuencia con sitios web con uso intensivo de gráficos, juegos en línea o herramientas de diseño basadas en web.
Desbordamiento de enteros del motor JavaScript (CVE-2025-49710)
La segunda vulnerabilidad crítica, CVE-2025-49710, afecta el entorno de ejecución de JavaScript de Firefox a través de un desbordamiento de enteros en la estructura de datos OrderedHashTable.
Descubierta por el investigador de seguridad Shaheen Fazim, esta falla plantea riesgos sustanciales para la estabilidad y seguridad del navegador.
OrderedHashTable es un componente crucial del motor JavaScript de Firefox, responsable de administrar estructuras de datos que mantienen el orden de inserción y al mismo tiempo brindan capacidades de búsqueda eficientes.
Esto lo hace fundamental para los objetos Map y Set de JavaScript, que se utilizan ampliamente en las aplicaciones web modernas.
Cuando se produce un desbordamiento de enteros en este contexto, puede provocar errores de asignación de memoria, manejo incorrecto de datos o condiciones potencialmente explotables que los sitios web maliciosos podrían aprovechar.
Recomendaciones
La rápida respuesta de Mozilla a estas vulnerabilidades demuestra el compromiso de la organización de mantener la postura de seguridad de Firefox.
La empresa clasificó ambas vulnerabilidades como de alto impacto, lo que refleja su potencial para afectar significativamente la seguridad del usuario y la funcionalidad del navegador.
Firefox 139.0.4 incluye parches integrales que abordan las causas subyacentes de la corrupción de la memoria y los problemas de desbordamiento de enteros sin comprometer el rendimiento o la compatibilidad del navegador.
Se recomienda encarecidamente a los usuarios que actualicen a Firefox 139.0.4 de inmediato para protegerse contra la posible explotación de estas vulnerabilidades.
El proceso de actualización se puede iniciar a través del mecanismo de actualización integrado de Firefox o descargando la última versión directamente desde el sitio web oficial de Mozilla.
Los administradores de sistemas en entornos empresariales deben priorizar la implementación de esta actualización en sus organizaciones para mantener el cumplimiento de la seguridad y protegerse contra posibles ataques dirigidos a estas vulnerabilidades específicas.
