Mozilla corrige dos vulnerabilidades críticas de día cero en Firefox tras Pwn2Ow

Mozilla ha publicado una actualización de seguridad de emergencia para corregir dos vulnerabilidades de día cero en Firefox, descubiertas recientemente durante la competencia de ciberseguridad Pwn2Own Berlin 2025. Estas fallas afectaban tanto a la versión de Firefox para escritorio como a Firefox para Android, además de las versiones de soporte extendido (ESR).

Las correcciones fueron lanzadas pocas horas después del cierre del evento, el sábado, momento en el que se demostró la segunda vulnerabilidad. Ambas fallas fueron consideradas críticas por Mozilla, debido al potencial impacto en la seguridad de los usuarios.

Detalles de las vulnerabilidades corregidas

La primera vulnerabilidad, identificada como CVE-2025-4918, consiste en un problema de lectura/escritura fuera de límites en el motor JavaScript de Firefox, específicamente al resolver objetos Promise. Este exploit fue demostrado durante el segundo día de la competencia Pwn2Own por los investigadores Edouard Bochin y Tao Yan de Palo Alto Networks, quienes recibieron un premio de 50.000 dólares por su descubrimiento.

Por otro lado, la segunda falla, CVE-2025-4919, también está relacionada con errores de lectura y escritura fuera de los límites en objetos JavaScript. En este caso, el problema se origina en una confusión de los tamaños de los índices de matrices, lo que permitió al investigador Manfred Paul obtener acceso no autorizado al renderizador del navegador. Esta hazaña le valió también un premio de 50.000 dólares.

Mozilla refuerza la seguridad del sandbox

Aunque ambas fallas representaban riesgos importantes para los usuarios de Firefox, Mozilla destacó que ninguno de los participantes logró evadir el sandbox del navegador, lo que refuerza la efectividad de las mejoras arquitectónicas recientes implementadas en su mecanismo de aislamiento.

"A diferencia de años anteriores, ninguno de los grupos participantes pudo escapar de nuestro sandbox este año. Tenemos confirmación verbal de que esto se atribuye a mejoras significativas en la arquitectura de nuestro entorno de sandbox", señaló Mozilla en su comunicado oficial.

Mozilla responde con rapidez tras Pwn2Own

Tras la demostración pública de estas dos vulnerabilidades, Mozilla movilizó rápidamente a un equipo global de expertos que trabajó intensamente para desarrollar, probar e implementar los parches de seguridad en un plazo récord. Esta respuesta ágil busca evitar la posible explotación activa en escenarios reales, especialmente considerando que la exposición pública de las fallas podría incentivar ataques dirigidos.

Los usuarios de Firefox deben actualizar lo antes posible a las siguientes versiones seguras:

• Firefox 138.0.4
• Firefox ESR 128.10.1
• Firefox ESR 115.23.1

Contexto del evento Pwn2Own Berlin 2025

Pwn2Own Berlin 2025 concluyó el sábado con más de un millón de dólares en premios entregados a investigadores de todo el mundo. El equipo STAR Labs SG se consagró con el título "Master of Pwn", al lograr múltiples exploits exitosos durante el evento.

Esta no es la primera vez que Mozilla responde con celeridad ante vulnerabilidades reveladas en Pwn2Own. En la edición de Pwn2Own Vancouver 2024, también se demostraron dos fallas de día cero en Firefox, que fueron corregidas por la compañía al día siguiente.

En fin, la rápida actuación de Mozilla tras las vulnerabilidades CVE-2025-4918 y CVE-2025-4919 evidencia el compromiso de la empresa con la ciberseguridad de los usuarios de Firefox. Si bien no hay evidencia de explotación activa fuera del entorno controlado de Pwn2Own, se recomienda actualizar el navegador de inmediato para evitar posibles riesgos en el futuro.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta