Mozilla ha emitido una actualización de seguridad de carácter urgente para corregir dos vulnerabilidades de criticidad alta en Firefox. Estas fallas de seguridad podrían permitir que actores malintencionados ejecuten código arbitrario en los sistemas de los usuarios.
Las vulnerabilidades mencionadas afectan a diversas versiones del navegador web, ampliamente utilizado, y requieren una intervención inmediata por parte de los usuarios para mitigar los riesgos. Expertos en seguridad han señalado que la explotación de estas vulnerabilidades requiere una mínima interacción por parte del usuario.
Un atacante remoto podría inducir a una víctima a visitar un sitio web diseñado específicamente para este propósito, lo que podría desencadenar una condición de escritura fuera de los límites de la memoria y, como consecuencia, la ejecución de código no autorizado en el sistema comprometido.
Los investigadores de seguridad han descubierto dos vulnerabilidades graves fuera de límites (CVE-2025-4918 y CVE-2025-4919) en el motor JavaScript de Firefox que podrían explotarse para comprometer los sistemas afectados.
Estas fallas fueron identificadas por expertos en seguridad que trabajan con la Iniciativa Día Cero de Trend Micro y Mozilla las clasificó como “críticas” debido a su impacto potencial.
La primera vulnerabilidad, rastreada como CVE-2025-4918, implica una vulnerabilidad de lectura o escritura fuera de límites al manejar objetos JavaScript Promise.
Según el aviso de seguridad de Mozilla, «un atacante pudo realizar una lectura o escritura fuera de límites en un objeto de promesa de JavaScript». Esta falla fue descubierta por Edouard Bochin y Tao Yan de Palo Alto Networks.
La segunda vulnerabilidad, CVE-2025-4919, permite a los atacantes «realizar una lectura o escritura fuera de límites en un objeto JavaScript confundiendo los tamaños de índice de la matriz». Esta vulnerabilidad fue reportada por el investigador de seguridad Manfred Paul.
Ambas vulnerabilidades podrían permitir a atacantes remotos ejecutar código arbitrario en los sistemas de las víctimas engañando a los usuarios para que visiten sitios web creados con fines malintencionados.
Versiones afectadas
Los fallos de seguridad afectan a varias versiones de Firefox:
- Versiones de Firefox anteriores a 138.0.4.
- Versiones de Firefox ESR (versión de soporte extendido) anteriores a 128.10.1.
- Versiones de Firefox ESR anteriores a 115.23.1.
Según la firma de análisis de seguridad Cybersecurity Help, las versiones afectadas abarcan desde Firefox 110.0 hasta 138.0.3 y Firefox ESR versiones 102.0 hasta 128.10.0.
La puntuación CVSS para estas vulnerabilidades se estimó como ALTA con una puntuación base de 8,8, lo que indica un riesgo significativo para los sistemas afectados.
Mozilla respondió rápidamente a las vulnerabilidades, que supuestamente quedaron demostradas en el concurso de seguridad Pwn2own 2025.
Se recomienda encarecidamente a los usuarios que actualicen sus instalaciones de Firefox inmediatamente a las últimas versiones:
- Firefox 138.0.4.
- FirefoxESR 128.10.1.
- FirefoxESR 115.23.1.
La aplicación de las actualizaciones se realiza a través del menú «Ayuda» de Firefox, seleccionando la opción «Acerca de Firefox». En sistemas macOS, los usuarios deben acceder a «Acerca de Firefox» directamente desde el menú principal de la aplicación.
Los especialistas en seguridad advierten que estas vulnerabilidades podrían estar siendo explotadas activamente, por lo que la instalación inmediata de las correcciones de seguridad resulta crucial para preservar la seguridad del sistema y la integridad de la información.
En un contexto donde los ataques dirigidos a navegadores web exhiben una sofisticación creciente, mantener el software actualizado constituye una de las estrategias de defensa más eficaces contra posibles vulneraciones de seguridad.
