Vulnerabilidades de severidad en Mozilla Firefox

Resumen

Se han descubierto múltiples vulnerabilidades de alta y crítica severidad en Mozilla Firefox, Firefox ESR, Firefox para iOS, Focus for iOS y Thunderbird. La explotación de estas fallas podría permitir a un atacante remoto lograr ejecución arbitraria de código, evasión de mecanismos de seguridad o provocar una denegación de servicio (DoS) en los sistemas afectados.

Productos afectados

• Firefox, versiones anteriores a 142
• Firefox ESR, versiones anteriores a 115.27, 128.14 y 140.2
• Firefox for iOS, versiones anteriores a 142
• Focus for iOS, versiones anteriores a 142
• Thunderbird, versiones anteriores a 128.14, 140.2 y 142

Vulnerabilidades críticas identificadas

• CVE-2025-9179
  • Puntuación CVSS v3.1: 9.8 (Crítica)
  • Descripción: Vulnerabilidad que permite la ejecución de código fuera del sandbox mediante corrupción de memoria en el proceso GMP.
  • Afecta a: Firefox, Firefox ESR y Thunderbird.
• CVE-2025-9187
  • Puntuación CVSS v3.1: 9.8 (Crítica)
  • Descripción: Vulnerabilidad de seguridad de memoria en Firefox < 142 y Thunderbird < 142, que podría permitir la ejecución arbitraria de código.
• CVE-2025-55031
  • Puntuación CVSS v3.1: 9.8 (Crítica)
  • Descripción: Vulnerabilidad en Firefox for iOS y Focus for iOS que permite a páginas maliciosas pasar enlaces FIDO al sistema operativo y activar el transporte de una passkey híbrida.
  • Un atacante dentro del rango de Bluetooth podría acceder a la cuenta del usuario.

Impacto

Un actor malicioso podría:

• Ejecutar código arbitrario en el sistema objetivo.
• Escapar de entornos de sandbox y comprometer el sistema anfitrión.
• Evasión de medidas de seguridad en dispositivos móviles iOS.
• Acceder de manera remota a cuentas de usuario utilizando credenciales FIDO expuestas.
• Provocar condiciones de denegación de servicio.

Recomendaciones

• Actualizar inmediatamente a la última versión de Firefox, Firefox ESR, Firefox para iOS, Focus for iOS y Thunderbird, disponibles en el sitio oficial de Mozilla.
• Mantener habilitadas las actualizaciones automáticas para minimizar la ventana de exposición.

Referencias

• NVD – CVE-2025-9179
• NVD – CVE-2025-9187
• NVD – CVE-2025-55031
• Mozilla Security Advisory MFSA 2025-64
• Mozilla Security Advisory MFSA 2025-65
• Mozilla Security Advisory MFSA 2025-66
• Mozilla Security Advisory MFSA 2025-67
• Mozilla Security Advisory MFSA 2025-68
• Mozilla Security Advisory MFSA 2025-69
• Mozilla Security Advisory MFSA 2025-70
• Mozilla Security Advisory MFSA 2025-71
• Mozilla Security Advisory MFSA 2025-72
  
  CSIRT - UC