Mozilla ha lanzado Firefox 140, abordando múltiples vulnerabilidades de seguridad críticas, incluida una vulnerabilidad sin uso de uso libre de uso sin impacto que podría conducir a la ejecución del código.
La actualización del parche de doce fallas de seguridad distintas que van desde problemas de seguridad de la memoria hasta vulnerabilidades específicas de la plataforma que afectan las versiones de escritorio y móviles del navegador.
Resumen
1. Firefox 140 direcciones CVE-2025-6424, un error de alta gravedad de uso libre de uso en fontfaceset podría habilitar ataques de ejecución del código.
2. Abordaron múltiples errores de corrupción de memoria (CVE-2025-6436) que podrían conducir a la ejecución del código arbitrario.
3. Vulnerabilidades específicas de MacOS y Android, incluida la advertencia de archivos, derivación y manipulación de URL parcheada.
4. 12 defectos de seguridad totales fijos: actualización inmediata esencial para la protección.
Fallas de seguridad de alto impacto abordados
CVE-2025-6424: Use-después de Fontfaceset
CVE-2025-6424 es una vulnerabilidad de uso libre de uso de alto impacto descubierto en el componente Fontfaceset de Firefox por los investigadores de seguridad LJP y HexRabbit del equipo de investigación de Devcore.
Una vulnerabilidad gratuita de uso ocurre cuando un programa continúa usando la memoria después de haber sido liberada o desasignada, lo que lleva a la corrupción de la memoria.
En este caso específico, la vulnerabilidad existe en Fontfaceset, que forma parte del sistema de manejo de fuentes de Firefox que gestiona las fuentes web y las operaciones de carga de fuentes.
Cuando se activan, este defecto da como resultado un accidente potencialmente explotable que los atacantes podrían aprovechar para ejecutar código arbitrario en el sistema de la víctima.
CVE-2025-6436: Colección de errores de seguridad de memoria
CVE-2025-6436 abarca múltiples vulnerabilidades de seguridad de la memoria que estaban presentes en Firefox 139 y Thunderbird 139.
Este CVE fue reportado por el equipo de seguridad interna de Mozilla, incluidos Andrew McCreight, Gabriele Svelto, Beth Rennie y el equipo de Fuzzing de Mozilla, lo que indica que se descubrió a través de los procesos de pruebas de seguridad en curso de Mozilla.
A diferencia de una sola vulnerabilidad específica, CVE-2025-6436 representa una colección de problemas de seguridad de la memoria que mostró evidencia de corrupción de la memoria.
Los errores de seguridad de la memoria pueden incluir desbordamientos del búfer, condiciones de uso gratuito, errores de doble libre y otros defectos de gestión de memoria.
Defectos de seguridad adicionales
El actualización también Resuelve CVE-2025-6425, una vulnerabilidad de impacto moderado donde el Compat WebExtension expuso un UUID persistente que podría usarse para rastrear a los usuarios en contenedores y modos de navegación.
El investigador de seguridad Rob Wu identificó una preocupación de privacidad que podría permitir a los atacantes a los navegadores de huellas digitales de manera persistente.
CVE-2025-6426, una falla de bajo impacto, afecta a Firefox para MacOS, donde los archivos ejecutables con la extensión terminal se abrirían sin los diálogos de advertencia adecuados, lo que potencialmente expone a los usuarios a la ejecución de software malicioso. Esta vulnerabilidad fue informada por el investigador de seguridad PWN2CAR.
Los usuarios de Android se benefician de las soluciones para dos problemas distintos. CVE-2025-6428 abordó una vulnerabilidad de manipulación de URL en la que Firefox para Android seguiría incorrectamente las URL especificadas en los parámetros de consulta de enlace en lugar del destino previsto, lo que puede facilitar los ataques de phishing.
Además, CVE-2025-6431 resolvió un mecanismo de derivación para el indicador de la aplicación externa, lo que podría exponer a los usuarios a vulnerabilidades de seguridad en aplicaciones de terceros.
La versión incluye correcciones para varias vulnerabilidades de derivación de la política de seguridad de contenido (CSP).
CVE-2025-6427 abordó una directiva Connect-SRC omitir a través de la manipulación del subdocumento, mientras que CVE-2025-6430 resolvió problemas con el manejo del encabezado de disco de contenido en las etiquetas de incrustación y objetos que podrían conducir a ataques de secuencia de comandos de sitios cruzados.
Los usuarios deben actualizarse inmediatamente a Firefox 140 para proteger contra estas vulnerabilidades.
La naturaleza integral de estas soluciones, particularmente los problemas de seguridad de la memoria de alto impacto, hace que esta actualización sea crítica para mantener la seguridad del navegador.
Los administradores del sistema deben priorizar la implementación de esta actualización en las redes organizacionales para evitar la explotación potencial de las vulnerabilidades documentadas.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
