Mozilla ha publicado Firefox 138.0.4 (y las ESR 128.10.1 y 115.23.1) para corregir dos vulnerabilidades críticas que ya estaban siendo explotadas tras su demostración en el concurso Pwn2Own Berlin 2025. La actualización llega tan solo dos días después de la competición y es calificada como “crítica”.
¿Qué se ha corregido?
| CVE | Componente | Impacto | Descubridores |
|---|---|---|---|
| CVE-2025-4918 | Motor SpiderMonkey (resolución de objetos Promise) | Lectura/escritura fuera de límites → corrupción de memoria | Edouard Bochin y Tao Yan (Palo Alto Networks) |
| CVE-2025-4919 | Optimización de sumas lineales en SpiderMonkey | Lectura/escritura fuera de límites → corrupción de memoria | Manfred Paul |
Ambos fallos permiten a un atacante forzar al motor JavaScript a acceder a regiones de memoria más allá de los límites asignados. Un out-of-bounds read/write puede revelar información sensible o dañar estructuras internas del navegador, dando paso a la ejecución de código arbitrario bajo el contexto del proceso de contenido. Sin embargo, Mozilla aclara que los exploits presentados no escaparon del sandbox, por lo que para una toma total del sistema haría falta una segunda vulnerabilidad que eleve privilegios o salga del contenedor.
¿Por qué es importante?
- Los zero-days se mostraron en directo en Pwn2Own Berlin 2025, donde los investigadores obtuvieron 50 000 USD por cada fallo.
- El código de explotación ya circula entre investigadores y organizadores del concurso, lo que aumenta el riesgo de re-ingeniería y uso malicioso.
- Afecta tanto a Firefox Desktop como a Firefox para Android y a las dos ramas ESR, por lo que todos los usuarios deben actualizar.
Mitigación
- Actualizar a Firefox ≥ 138.0.4 o a las correspondientes versiones ESR.
- Para entornos gestionados, habilitar actualizaciones automáticas o desplegar el paquete MSI/PKG cuanto antes.
- Vigilar los registros de seguridad en busca de eventos anómalos relacionados con el proceso
firefox.exe(o equivalente móvil, en función de la versión instalada).
Más información:
- Firefox Security Response to pwn2own 2025 https://blog.mozilla.org/security/2025/05/17/firefox-security-response-to-pwn2own-2025/
- Pwn2Own Berlin 2025: Day Two Results https://www.zerodayinitiative.com/blog/2025/5/16/pwn2own-berlin-2025-day-two-results
- Mozilla Foundation Security Advisory 2025-38 https://www.mozilla.org/en-US/security/advisories/mfsa2025-38/
- Mozilla Foundation Security Advisory 2025-37 https://www.mozilla.org/en-US/security/advisories/mfsa2025-37/
- Mozilla Foundation Security Advisory 2025-36 https://www.mozilla.org/en-US/security/advisories/mfsa2025-36/
La entrada Firefox parchea dos zero-day explotados en Pwn2Own Berlin 2025 se publicó primero en Una Al Día.