Mozilla corrigió varias vulnerabilidades críticas en sus productos Firefox y Thunderbird, incluyendo Firefox ESR 140.2, Firefox 142 y Thunderbird 142, que podrían permitir ataques como de ejecución de código remoto, corrupción de memoria y falsificación de interfaces (spoofing) en componentes clave de los productos, poniendo en riesgo la seguridad y confidencialidad de los usuarios. En los siguientes apartados se detallan cada una de las CVE identificadas, su impacto y componentes afectados.
- CVE‑2025‑9179 – Puntaje base CVSS: 9.8 (crítica)
Evasión de sandbox debido a un puntero inválido en el componente Audio/Video (GMP). El atacante puede corromper memoria en el proceso GMP, que maneja medios cifrados y tiene un sandbox con privilegios distintos al proceso de contenido - CVE‑2025‑9180 – Puntaje base CVSS: 8.1 (alta)
Bypass de políticas en el componente gráfico Canvas2D. Un atacante podría evadir restricciones de origen y acceder a contenido ajeno.
- CVE‑2025‑9181 – Puntaje base CVSS: 6.5 (media)
Memoria no inicializada en el motor de JavaScript, lo que podría derivar en comportamiento impredecible o corrupción de memoria.
- CVE‑2025‑9182 – Puntaje base CVSS: 7.5 (alta)
Denegación de servicio (DoS) por falta de memoria en el componente gráfico WebRender. Puede ocasionar bloqueo del navegador.
- CVE‑2025‑9183 – Puntaje base CVSS: 6.5 (media)
Problema de spoofing en el componente de la barra de direcciones. Podría engañar visualmente al usuario sobre la URL actual.
- CVE‑2025‑9184, CVE‑2025‑9185 – Puntaje base CVSS: 8.1 (alta) // CVE‑2025‑9187 – Puntaje base CVSS: 9.8 (crítica)
Errores de seguridad de memoria en Firefox ESR 140.2, Thunderbird ESR 140.2, Firefox 142 y Thunderbird 142, posibilidad de ejecución de código arbitrario.
Productos y versiones afectadas
- Firefox: Versiones anteriores a 142.
- Firefox ESR :115.27, ESR 128.14, ESR 140.2
- Thunderbird: Versiones anteriores a 142
- Thunderbird ESR: 115.27, 128.14, 140.2
Solución
- Firefox Versión 142
- Firefox ESR 115.27, ESR 128.14, ESR 140.2
- Thunderbird Versión 142
- Thunderbird ESR: 115.27, ESR 128.14, ESR 140.2
Recomendaciones
- Se recomienda implementar las ultimas actualizaciones disponibles para abordar los riesgos potenciales.
Referencias:
https://nvd.nist.gov/vuln/detail/CVE-2025-9179
https://nvd.nist.gov/vuln/detail/CVE-2025-9180
https://nvd.nist.gov/vuln/detail/CVE-2025-9181
https://nvd.nist.gov/vuln/detail/CVE-2025-9182
https://nvd.nist.gov/vuln/detail/CVE-2025-9183
https://www.tenable.com/plugins/pipeline/issues/200516
https://www.mozilla.org/en-US/security/advisories/mfsa2025-64