(https://i.postimg.cc/N0qbwnJM/Mozilla__Firefox.png) (https://postimages.org/)
La firma de seguridad de inteligencia artificial AISLE descubrió recientemente una grave vulnerabilidad en el navegador web Firefox que pasó desapercibida durante seis meses. Esta falla podría haber permitido a los atacantes ejecutar sus propias instrucciones en el ordenador de un usuario, poniendo en riesgo a más de 180 millones de usuarios.
La causa: Un pequeño error de código
La falla, identificada como CVE-2025-13016, fue un sutil error de código presente en una parte clave del motor de Firefox que gestiona WebAssembly (Wasm). WebAssembly es básicamente un tipo de código que se ejecuta muy rápidamente en el navegador, generalmente utilizado para juegos y aplicaciones web complejas.
Según AISLE, el problema fue un desbordamiento del búfer de pila dentro de una función de memoria llamada Recolección de Basura (GC). Para su información, GC es un mecanismo que libera automáticamente la memoria no utilizada del ordenador.
El error fue una sola línea de cálculos incorrectos que involucraba punteros de memoria (como etiquetas de dirección). Esto permitió que se escribieran demasiados datos en un espacio temporal, corrompiendo otra memoria.
Un análisis más profundo reveló dos problemas específicos: primero, se le indicó al código que copiara el doble de los datos previstos, lo que provocó un desbordamiento; y segundo, comenzó a copiar desde la ubicación de memoria incorrecta, obteniendo datos administrativos en lugar del contenido real. Este tipo de corrupción de memoria es muy peligroso porque, con el truco adecuado, un atacante podría secuestrar el flujo normal del programa y potencialmente ejecutar código arbitrario.
El código vulnerable se introdujo el 7 de abril de 2025 y permaneció en varias versiones, incluyendo Firefox desde la 143 hasta la 145 inicial y versiones ESR anteriores a la 140.5. Cabe destacar que ni siquiera una prueba diseñada para esta ruta de código logró detectar el problema.
El código problemático
(https://hackread.com/wp-content/uploads/2025/11/Firefox-Bug-CVE-2025-13016-Fixed-After-Exposing-Millions-for-Half-a-Year.png)
Descubrimiento y solución rápidas
La falla, según la publicación del blog de AISLE, se descubrió el 2 de octubre de 2025. El investigador de la compañía, Igor Morgenstern, reportó el problema inmediatamente al equipo de seguridad de Mozilla. Su respuesta fue rápida; el equipo confirmó el problema el 14 de octubre de 2025. Yury Delendik, de Mozilla, desarrolló la solución e implementó los cambios al día siguiente. Esta rápida respuesta condujo a la publicación de un parche el 11 de noviembre de 2025.
La vulnerabilidad se clasificó como de gravedad alta ( puntuación CVSS de 7,5 ). Para explotarla, un atacante necesitaría que el usuario visitara una página web maliciosa en un momento muy específico, como cuando el navegador está bajo mucha presión de memoria.
La falla afectó a todas las plataformas, incluyendo Windows, macOS, Linux y Android, pero versiones anteriores como Firefox ESR 115 y todas las versiones anteriores a la 143 no eran vulnerables.
Afortunadamente, la solución ya está disponible en Firefox 145, Firefox ESR 140.5 y versiones posteriores. Los principales sistemas Linux (como Ubuntu, Debian y Fedora) incorporaron rápidamente esta actualización, y Arch Linux se actualizó en menos de 24 horas. Se recomienda encarecidamente a los usuarios que actualicen su navegador Firefox inmediatamente a la última versión para garantizar su protección.
Fuente:
HackRead
https://hackread.com/update-firefox-patch-cve-2025-13016-vulnerability/