Mozilla ha lanzado Firefox 142 para abordar múltiples vulnerabilidades de seguridad de alta severidad que podrían permitir a los atacantes ejecutar el código arbitrario de forma remota en los sistemas afectados.
El asesoramiento de seguridad, publicado el 19 de agosto de 2025, revela nueve vulnerabilidades distintas que van desde los escapes de Sandbox hasta los errores de seguridad de la memoria, con varias clasificadas como amenazas de alto impacto capaces de permitir la ejecución del código remoto (RCE).
Control de llave
1. Firefox 142 Patches 9 Vulnerabilidades, habilitando la ejecución del código remoto y los escapes de Sandbox.
2. Los atacantes pueden ejecutar código arbitrario a través de la corrupción de memoria y las exploits de derivación de seguridad.
3. Actualización inmediata de Firefox requerida para evitar ataques remotos.
Las vulnerabilidades más críticas incluyen CVE-2025-9179, una vulnerabilidad de escape de Sandbox en el componente de audio/video GMP (complemento de medios gecko) informado por el investigador de seguridad Oskar.
Esta falla permite la corrupción de la memoria dentro del proceso GMP muy sandboxed responsable de manejar el contenido de los medios cifrados, lo que puede permitir a los atacantes aumentar los privilegios más allá de las restricciones de proceso de contenido estándar.
Vulnerabilidades de Mozilla RCE
El panorama de vulnerabilidad incluye CVE-2025-9180, un bypass de política del mismo origen que afecta el componente Graphics Canvas2D, descubierto por el investigador Tom Van Goethem.
Esta falla de seguridad socava el modelo de seguridad web fundamental que evita el acceso a los recursos de origen cruzado, lo que puede permitir que los sitios web maliciosos accedan a datos confidenciales de otros dominios.
Tres vulnerabilidades de seguridad de memoria separadas plantean riesgos RCE significativos. CVE-2025-9187 afecta a Firefox 141 y Thunderbird 141, mientras que CVE-2025-9184 impacta Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 y Thunderbird 141.
El problema más generalizado, CVE-2025-9185, afecta a múltiples versiones de liberación de soporte extendida (ESR), incluidas Firefox ESR 115.26, 128.13 y 140.1, junto con sus contrapartes de Thunderbird.
Equipo de seguridad de Mozilla, incluido Los investigadores Andy Leiserson, Maurice Dauer, Sebastian Hengst y el equipo confuso de Mozilla, identificaron estos errores de corrupción de memoria que demuestran evidencia clara de explotabilidad para la ejecución del código arbitrario.
Las vulnerabilidades adicionales incluyen CVE-2025-9181, un problema de memoria no inicializado en el componente del motor JavaScript informado por Irvan Kurniawan, y varios problemas de menor severidad que afectan la falsificación de la barra de abarcación y las condiciones de negación de servicio en el componente de gráficos Webrender.
CVE IDTITLESEVERITYCVE-2025-9179Sandbox Escape debido al puntero no válido en audio/video GMP ComponentHighCve-2025-9180Same-Origin Policy Policy en gráficos Canvas2D ComponleAghCve-2025-9181uninitialized Memory in JavaSiscript ComponentModerateCve-2025-9182Denial-de servicio debido a la fuera de la memoria en los gráficos WebRender ComponentLowCVE-2025-9183 Splofering Problema en la dirección de la dirección Componente-2025-9184 Bugs de seguridad de Mememoria en Firefox ESR 140.2/ThunderBird ESR 140.2/FireFOX 142/THUNTERBIRB/THUNTERBIRS en Firefox ESR 140.2/ThunderBird ESR 140.2/FireFOX 142/THUNTERBIRB/THUNTERBIRBI 142HighCVE-2025-9185 Bugs de seguridad en múltiples versiones de ESR y Firefox 142/Thunderbird 142highcve-2025-9186 Spoofing Problema en el componente de la barra de direcciones del enfoque de Firefox para Androidlowcve-2025-9187 Memory Bugs en Firefox 142 y Thunderbird 142high
Mitigaciones
Las organizaciones y los usuarios individuales deben priorizar actualizaciones inmediatas a Firefox 142 para mitigar estos riesgos de seguridad críticos.
Las vulnerabilidades de seguridad de la memoria se refieren particular a los entornos empresariales, ya que afectan tanto las versiones estándar de Firefox como las versiones de ESR comúnmente implementadas en entornos corporativos.
Los profesionales de la seguridad deben implementar estrategias de defensa en profundidad, incluida la segmentación de la red, las soluciones de detección y respuesta de punto final (EDR) y tecnologías de sandboxing de aplicaciones, para limitar el impacto potencial de explotación.
La vulnerabilidad de escape GMP Sandbox destaca la importancia de los mecanismos de aislamiento del proceso, incluso en entornos ya sandboxed.
La línea de tiempo de divulgación coordinada de Mozilla y la cobertura integral de parches en múltiples ramas de productos demuestran prácticas efectivas de gestión de vulnerabilidad.
Sin embargo, el descubrimiento de problemas de corrupción de memoria con el potencial de RCE enfatiza los desafíos de seguridad en curso en la arquitectura moderna del navegador, particularmente dentro del procesamiento de medios complejo y los gráficos que representan subsistemas que manejan contenido no confiable de diversas fuentes web.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
