Mozilla ha lanzado un parche de seguridad urgente para los usuarios de Windows tras descubrirse un fallo crítico que permite a atacantes escapar del entorno seguro del navegador Firefox y ejecutar potencialmente código malicioso en el sistema afectado. Esta falla se descubrió tras la explotación activa del CVE-2025-2783, una vulnerabilidad de corrupción de memoria ya reportada anteriormente y que permitió ataques dirigidos en entornos reales.
- CVE-2025-2857 (CVSS: NA): Vulnerabilidad de tipo sandbox escape, permite que código malicioso ejecutado en un proceso aislado del navegador (sandbox) salte las barreras de protección e interactúe directamente con el sistema operativo.
Se puede encadenar con otras vulnerabilidades, como la CVE-2025-2783 para lograr ejecución remota de código con privilegios elevados.
Mozilla confirmó que esta vulnerabilidad afecta exclusivamente a Firefox en Windows, dejando a los usuarios de Linux y macOS fuera de riesgo. Aunque no se han detectado ataques activos explotando CVE-2025-2857, la naturaleza de este fallo y su relación con ataques dirigidos previos en Chrome lo convierten en una prioridad crítica de parcheo.
Productos afectados:
- Firefox en Windows (todas las versiones anteriores a 136.0.4, ESR 128.8.1 y ESR 115.21.1).
Solución:
- Actualizar a Firefox 136.0.4, Firefox ESR 128.8.1 o Firefox ESR 115.21.1.
Recomendaciones:
- Aplicar las actualizaciones de seguridad de Mozilla de inmediato para evitar la explotación de la vulnerabilidad.
- Restringir el uso de navegadores desactualizados en entornos corporativos o de alta seguridad.
- Configurar políticas de ejecución de software para evitar la ejecución de procesos no autorizados en sistemas Windows.
- Supervisar el tráfico de red y registros del sistema en busca de intentos de explotación o actividad inusual relacionada con procesos de Firefox.
Referencias: