Ciberseguridad 360 | Mozilla corrige vulnerabilidad zero-day en Firefox

Mozilla ha publicado actualizaciones de seguridad de emergencia para hacer frente a dos vulnerabilidades zero-day de Firefox demostradas en la reciente competici�n de hacking Pwn2Own Berl�n 2025.

Las correcciones, que incluyen Firefox para escritorio y Android y dos versiones de soporte extendido (ESR), llegaron pocas horas despu�s de la conclusi�n de Pwn2Own, el s�bado, donde se demostr� la segunda vulnerabilidad.

El primer fallo, identificado como CVE-2025-4918, es un problema de lectura/escritura fuera de los l�mites en el motor JavaScript al resolver objetos Promise.

El fallo fue demostrado durante el segundo d�a de la competici�n por los investigadores de seguridad de Palo Alto Networks Edouard Bochin y Tao Yan, que ganaron 50.000 d�lares por su descubrimiento.

El segundo fallo, CVE-2025-4919, permite a los atacantes realizar lecturas/escrituras fuera de los l�mites de un objeto JavaScript confundiendo los tama�os de los �ndices de las matrices.

Fue descubierto por el investigador de seguridad Manfred Paul, que obtuvo acceso no autorizado dentro del renderizador del programa, ganando 50.000 d�lares en el proceso.

Aunque los fallos constituyen riesgos significativos para Firefox, y Mozilla los califica de "cr�ticos" en sus boletines, el proveedor de software subraya que ninguno de los investigadores pudo escapar del sandbox, citando un refuerzo selectivo en ese frente.

"A diferencia de a�os anteriores, ninguno de los grupos participantes fue capaz de escapar a nuestro sandbox este a�o", explic� Firefox en el anuncio.

"Tenemos confirmaci�n verbal de que esto se atribuye a las recientes mejoras arquitect�nicas de nuestro sandbox de Firefox, que han neutralizado una amplia gama de ataques de este tipo".

Aunque no hay indicios de que los dos fallos hayan sido explotados fuera de Pwn2Own, su demostraci�n p�blica podr�a alimentar pronto ataques reales.

Para mitigar este riesgo, Mozilla contrat� a un grupo de trabajo de todo el mundo que trabaj� febrilmente para desarrollar soluciones a los fallos demostrados, probarlas y enviar actualizaciones de seguridad lo antes posible.

Se recomienda a los usuarios de Firefox que actualicen a la versi�n 138.0.4, ESR 128.10.1 o ESR 115.23.1.

Pwn2Own Berl�n 2025 concluy� el s�bado con m�s de un mill�n de d�lares en pagos y el equipo STAR Labs SG ganando el t�tulo de "Master or Pwn".

El a�o pasado, en Pwn2Own Vancouver 2024, tambi�n se demostraron dos zero-days de Firefox, que Mozilla corrigi� al d�a siguiente.

Fuente: bleepingcomputer