Mozilla ha lanzado actualizaciones de emergencia para Firefox tras la explotación de dos vulnerabilidades críticas de tipo zero-day. Estas fallas, identificadas como CVE-2025-4918 y CVE-2025-4919, afectan al motor JavaScript SpiderMonkey y permiten lecturas y escrituras fuera de límites, lo que puede derivar en corrupción de memoria y ejecución de código arbitrario dentro del proceso de contenido del navegador.
Detalles de las vulnerabilidades
- CVE-2025-4918 – Crítica (CVSS 8.8): Esta vulnerabilidad reside en la resolución de objetos Promise en el motor SpiderMonkey, permitiendo accesos fuera de límites que pueden ser explotados para ejecutar código arbitrario.
- CVE-2025-4919 – Crítica (CVSS 8.8): Esta falla se encuentra en la optimización de sumas lineales del motor JavaScript, lo que permite lecturas y escrituras fuera de límites mediante la manipulación de índices de arreglos, potencialmente conduciendo a la ejecución de código malicioso.
Productos y versiones afectadas
- Firefox: versiones anteriores a la 138.0.4
- Firefox ESR: versiones anteriores a la 128.10.1 y 115.23.1
- Firefox para Android: versiones anteriores a la última actualización disponible
Solución
Mozilla ha corregido estas vulnerabilidades mediante actualizaciones que incluyen parches para el motor SpiderMonkey, previniendo accesos de memoria indebidos durante la ejecución de JavaScript.
Los usuarios deben actualizar a las versiones seguras de inmediato desde los repositorios oficiales o mediante los mecanismos de actualización automática del navegador.
Recomendaciones
- Es imperativo que todos los usuarios actualicen a las versiones mencionadas para protegerse contra posibles explotaciones
- Implementar sistemas de detección de anomalías que puedan identificar intentos de explotación relacionados con estas vulnerabilidades.
- Auditar y reforzar las políticas de control de acceso en sistemas críticos para prevenir accesos no autorizados.
- Capacitar a los usuarios sobre los riesgos asociados a vulnerabilidades de día cero y las mejores prácticas para evitarlas.
Referencias
- https://unaaldia.hispasec.com/2025/05/firefox-parchea-dos-zero-day-explotados-en-pwn2own-berlin-2025.html?utm_source=rss&utm_medium=rss&utm_campaign=firefox-parchea-dos-zero-day-explotados-en-pwn2own-berlin-2025
- https://cyberinsider.com/mozilla-quickly-patches-two-firefox-zero-days-uncovered-by-white-hats
- https://thehackernews.com/2025/05/firefox-patches-2-zero-days-exploited.html?utm_source=chatgpt.com