Mozilla ha lanzado Firefox 138 y está abordando varias vulnerabilidades de seguridad sensibles al tiempo que introduce características muy esperadas, incluida la gestión mejorada del perfil.
Los investigadores de seguridad han identificado varios defectos importantes que permiten a los atacantes aumentar los privilegios o evitar mecanismos de seguridad, lo que provocó esta actualización de seguridad crítica, que se lanzó el 29 de abril de 2025.
Los impactantes defectos de seguridad de Firefox y Thunderbird
Detalles sobre los detalles de la seguridad de la Fundación Mozilla Cuatro vulnerabilidades de alto impacto mejoraron en este lanzamiento.
Las más preocupaciones incluyen vulnerabilidades de escalada de privilegios, defectos de corrupción de memoria y bypass de aislamiento de procesos.
CVE-2025-2817 fue descubierto por el investigador de seguridad Dong-UK Kim (@justlikebono) y reveló una grave vulnerabilidad de escalada de privilegios en el mecanismo de actualización de Firefox.
Este defecto permitió al proceso del usuario de integridad de medios interferir con los actualizadores a nivel de sistema manipulando las operaciones de bloqueo de archivos.
“Al inyectar el código en un proceso privilegiado por el usuario, los atacantes evitan el control de acceso previsto, permitiendo las operaciones de archivos a nivel del sistema en rutas controladas por usuarios injustos y permitiendo una escalada de privilegios”, explicó Mozilla en su asesoramiento.
Para los usuarios de MacOS, CVE-2025-4082 abordó una memoria de atributo de sombreador webGL corrupta que podría activar una lectura de límites.
Cuando se vincula con otras vulnerabilidades, este defecto se puede armarse para aumentar los privilegios del sistema afectado.
Otra vulnerabilidad importante reportada por Nika Layzell, CVE-2025-4083, contenía un bypass de aislamiento de proceso utilizando enlaces de URI en los marcos de origen.
Esta vulnerabilidad es causada por el manejo inadecuado de JavaScript: URIS. Esto permite que el contenido se ejecute en el proceso de documento de nivel superior en lugar del marco previsto que podría permitir el escape de Sandbox.
Mozilla también solucionó un error de seguridad de memoria rastreado como CVE-2025-4092, afectando tanto a Firefox 137 como a Thunderbird 137.
Estos errores muestran evidencia de la corrupción de la memoria y potencialmente pueden explotarse para ejecutar código arbitrario.
Productos csifcedidos Eligexploit Prererequisitescvss 3.1 Scorecve-2025-2817 FireFoxPrivilege EscalationAtacker debe requerir la ejecución del código como un proceso de usuario estadístico en el sistema de destino. El acceso local requiere HighCVE-2025-4082FireFox para la corrupción de Macosmemory. El atacante de escalada privilegiado debe ser capaz de modificar ciertos atributos del sombreador webGL. Las versiones de MACOS solo afectan el bypass de aislamiento HighCVE-2025-4083 FirefoxProcessprocess, Sandbox EscapeatTacker debe poder inyectar o controlar o controlar los enlaces de URI para la Origin de Originia Frameseeds a través de la compañía de origen-Origin OriginAghCve-2025-4092Folfox, Thrinbirdmory Company, Croude Exectuckter Exectucto.
Nuevas características de gestión de perfil
Más allá de las mejoras de seguridad, Firefox 138 presenta varias extensiones centradas en el usuario, particularmente el muy esperado sistema de gestión de perfil.
Esta característica permite a los usuarios crear perfiles individuales para dividir sus actividades de navegación y mantener un historial de navegación separado entre marcadores, pestañas, contraseñas y varios usos.
Esta característica se implementa gradualmente, pero se puede habilitar inmediatamente cambiando la configuración “Browser.Profiles.enabled” en ARBUT: config.
El Centro de Seguridad de Internet (CIS) calificó estas vulnerabilidades como alto riesgo para los gobiernos y las entidades comerciales.
La CISA dijo en su asesoramiento que “actualmente no hay informes de estas vulnerabilidades explotadas en la naturaleza”, pero recomendó que los usuarios apliquen la actualización inmediatamente después de las pruebas adecuadas.
Se recomienda a los usuarios a actualizar a Firefox 138 lo antes posible. Además de la versión estándar de Firefox, Mozilla actualizó el Firefox ESR a las versiones 115.23 y 128.10 con la misma solución de seguridad.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
