Mozilla ha lanzado una actualización crítica de seguridad para Firefox, apenas 48 horas después del evento Pwn2Own Berlin 2025, donde se demostraron dos vulnerabilidades zero-day que afectan al motor JavaScript SpiderMonkey. Las versiones afectadas incluyen Firefox para escritorio y Android, así como las ramas ESR 128 y ESR 115.

¿Qué vulnerabilidades ha corregido Firefox?

Ambas vulnerabilidades permiten ejecutar código arbitrario aprovechando una corrupción de memoria mediante accesos fuera de los límites asignados. Aunque los exploits no lograron escapar del sandbox del navegador, podrían formar parte de una cadena de ataque que incluya escalada de privilegios o escape del contenedor.

¿Por qué estos zero-day en Firefox son especialmente peligrosos?

1. Se explotaron públicamente en un entorno controlado durante Pwn2Own Berlin 2025, lo que valida su funcionalidad.
2. Los investigadores recibieron 50 000 USD por cada vulnerabilidad, lo que subraya su alto valor de mercado.
3. El código de explotación ya circula entre organizadores e investigadores, lo que aumenta el riesgo de que sea reutilizado por actores maliciosos.
4. El impacto se extiende a Firefox Desktop, Firefox para Android y todas las versiones ESR, incluyendo entornos corporativos.

¿Cómo mitigar el riesgo? Recomendaciones para usuarios y administradores

Para proteger tu navegador Firefox ante estos fallos de seguridad críticos, sigue estos pasos:

Monitorea los registros de seguridad, especialmente actividades sospechosas relacionadas con firefox.exe o su equivalente móvil.

Actualiza Firefox a la versión 138.0.4 o superior.

En entornos empresariales, distribuye las versiones ESR 128.10.1 o 115.23.1 mediante los paquetes MSI o PKG.

Activa las actualizaciones automáticas si administras equipos de forma centralizada.

Referencias

• Firefox Security Response to Pwn2Own 2025
• Resultados Día 2 – Pwn2Own Berlin 2025 (ZDI)
• Mozilla Foundation Security Advisory 2025-38
• MFSA 2025-37
• MFSA 2025-36