Vulnerabilidades en Mozilla Firefox
1. Vulnerabilidades Críticas y su Mecanismo
- CVE-2025-8028 (CVSS 9.8):
- Tipo: Vulnerabilidad en la instrucción WASM
br_table. - Mecanismo: Un atacante puede generar tablas con excesivas entradas, causando truncamiento de etiquetas y cálculos erróneos en direcciones de ramificación. Esto permite ejecución remota de código (RCE) al alterar el flujo de ejecución .
- Impacto: Compromiso total del sistema mediante páginas web maliciosas.
- Tipo: Vulnerabilidad en la instrucción WASM
- CVE-2025-8040 (CVSS 8.8):
- Tipo: Fallo de seguridad en memoria (corrupción de heap).
- Mecanismo: Explotación mediante manipulación de estructuras de datos, permitiendo RCE o denegación de servicio (DoS) .
- Relacionado: Similar a vulnerabilidades previas como CVE-2025-4919 en el motor JavaScript SpiderMonkey .
- CVE-2025-8039 (CVSS 8.1):
- Tipo: Exposición de información sensible.
- Mecanismo: Términos de búsqueda persisten en la URL tras abandonar la página, revelando datos confidenciales a atacantes .
2. Productos y Versiones Afectados
Tabla resumen de sistemas vulnerables y versiones seguras:
| Producto | Versiones Vulnerables | Versión Parcheada |
|---|---|---|
| Firefox Desktop | < 141 | 141 |
| Firefox ESR | < 115.26, < 128.13, < 140.1 | 115.26, 128.13, 140.1 |
| Firefox for iOS | < 141 | 141 |
| Thunderbird | < 128.13, < 140.1, < 141 | 128.13, 140.1, 141 |
| Notas: |
- Versiones ESR (Extended Support Release) son críticas en entornos empresariales .
- Vulnerabilidades previas (ej: CVE-2025-4918) ya explotadas en eventos como Pwn2Own Berlín 2025 .
3. Acciones Urgentes de Mitigación
Actualización inmediata.
📊 4. Riesgos y Consecuencias de No Parchear
- Ejecución remota de código:
- Control total del dispositivo, robo de credenciales, o instalación de ransomware .
Recursos clave: