Mozilla ha lanzado Firefox 141 para abordar 17 vulnerabilidades de seguridad, incluidas varios defectos de alto impacto que podrían permitir la ejecución de código arbitraria.
El Aviso de Seguridad de la Fundación Mozilla, anunciado el 22 de julio de 2025, insta a los usuarios a actualizar de inmediato para proteger contra estos problemas de seguridad críticos.
Control de llave
1. Firefox 141 parches vulnerabilidades críticas que podrían permitir la ejecución del código.
2. Los errores de alto impacto afectan las funciones del navegador central en sistemas de 64 bits y ARM.
3. Mozilla insta a la actualización inmediata a proteger contra estos riesgos de seguridad.
JavaScript Motor y fallas de seguridad de la memoria
Las vulnerabilidades más severas se centran en los sistemas de gestión de motores y memoria de JavaScript de Firefox.
CVE-2025-8027 representa una falla particularmente peligrosa donde el compilador IonMonkey-Jit solo escribió 32 bits de un valor de retorno de 64 bits a la pila en plataformas de 64 bits, mientras que el jit de línea de base leía los 64 bits completos. Este desajuste podría conducir a un comportamiento impredecible y una posible ejecución del código.
Otro problema crítico, CVE-2025-8028, afecta a los sistemas ARM64 donde las instrucciones BR_TABLE BR_SEMBLY con numerosas entradas podrían causar el truncamiento de la etiqueta, lo que resulta en cálculos de dirección de ramificación incorrectos.
La actualización también aborda múltiples errores de seguridad de memoria rastreados como CVE-2025-8044, CVE-2025-8034, CVE-2025-8040 y CVE-2025-8035, que el equipo de seguridad de Mozilla cree que podría explotarse para la ejecución del código arbitrary con suficiente esfuerzo.
Política de seguridad de origen cruzado y contenido
Varias vulnerabilidades implicaron eludir importantes mecanismos de seguridad web. CVE-2025-8036 permitió a los atacantes omitir las protecciones de intercambio de recursos de origen cruzado (CORS) a través de los ataques de reembolso de DNS, ya que Firefox almacenó en caché las respuestas previas a la luz de CORS a través de los cambios en las direcciones IP.
El navegador también sufrió problemas de derivación de la Política de Seguridad de Contenido (CSP), incluida la CVE-2025-8032 donde la carga del documento XSLT no pudo propagar las restricciones de documento CSP de origen.
Las credenciales de autenticación enfrentaron el riesgo de exposición a través de CVE-2025-8031, donde el nombre de usuario: las combinaciones de contraseña no se despojaron correctamente de las URL en los informes de CSP, potencialmente filtrando credenciales de autenticación básica HTTP.
Además, CVE-2025-8029 habilitó la ejecución de JavaScript: URL cuando se incrusta en objeto e inserta etiquetas, creando otro vector de ataque.
CVETITLEIMPACTCVE-2025-8027 JavaScript El motor solo escribió un valor de retorno parcial a StackhighCVE-2025-8028Large La tabla de sucursal podría conducir a la instrucción truncada de los errores de seguridad de la seguridad de la seguridad. 115.26, Firefox ESR 128.13, Thunderbird ESR 128.13, Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 and Thunderbird 141HighCVE-2025-8040Memory safety bugs fixed in Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 and Thunderbird 141HighCVE-2025-8035 Bugs de seguridad de la Memoria fijadas en Firefox ESR 128.13, Thunderbird ESR 128.13, Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 y Thunderbird 141HighCve-2025-8041 Incinuto de URL TRUCCIÓN EN FORFOX FORFOX FORFOX FORFOX FOR FURFOX FORFOX FORFOX FOR FUROX FORFOX FOR FURNFOX FOR FURNFOX FOR FURNFOX POR AndroidModerateCve-2025-8042Sandboxed iframe podría iniciar descarga de descarga-2025-8029JavaScript: URL ejecutadas en objeto e incrustación de tagsModerateCve-2025-8036DNS renuncia a las cursvents CorsModerateCve-2025-8037 sincero shadow sharing secure seguros seguros shadow sincan CookiesModerateCve-2025-803030potencial La ejecución del código asistido por el usuario en el comando “Copiar as curl “ModerateCve-2025-8043 URL INIFORRECCIÓN TruncationModerateCve-2025-8031 Incorrecto de URL Stripting en los informes CSPModerateCve-2025-8032XSLT podría CSPModerateCVE-2025-8038CSP Frame-Src no se aplicó correctamente para PATHSLOWCVE-2025-8039 Términos de investigación persistidos en URL Barlowcve-2025-8033 Incorrecto de la máquina de estado JavaScript para GeneratorsLowlow
Correcciones de Android
Firefox para Android recibió atención específica con correcciones para CVE-2025-8041 y CVE-2025-8042.
El primero abordó el truncamiento de URL incorrecto en la barra de direcciones, donde las URL se acortaron desde el final en lugar de priorizar la pantalla de origen.
La segunda vulnerabilidad permitió iFrames de sandboxed sin el atributo PermatedOwdLoads para iniciar las descargas, rompiendo el sandbox de seguridad previsto.
La actualización también resuelve los problemas de sombreado de cookies a través de CVE-2025-8037, donde las cookies sin nombre con signos iguales podrían seguir las cookies asegurar incluso cuando se establecen sobre conexiones HTTP no entrelazadas.
Mozilla fuertemente recomendado Todos los usuarios de Firefox se actualizan inmediatamente a la versión 141 para proteger contra estas vulnerabilidades, que van desde problemas de corrupción de memoria de alto impacto hasta moderados desvíos de privacidad y seguridad.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
