La versión 136.0.4 de Firefox corrige un fallo crítico similar a un ataque activo detectado recientemente en Google Chrome
Mozilla ha publicado una actualización urgente de seguridad para Firefox que soluciona una vulnerabilidad crítica, identificada como CVE-2025-2857, que permite a los atacantes escapar del entorno de aislamiento (sandbox) del navegador en sistemas operativos Windows.
El fallo, descrito como un «manejo incorrecto de identificadores que puede provocar escapes del sandbox», fue reportado por el desarrollador de Mozilla Andrew McCreight y afecta tanto a las versiones estándar como a las ediciones de soporte extendido (ESR) del navegador. Las versiones que corrigen esta vulnerabilidad son Firefox 136.0.4, Firefox ESR 115.21.1 y Firefox ESR 128.8.1.
Similar al zero-day de Chrome
Según la Fundación Mozilla, esta vulnerabilidad guarda similitudes con el CVE-2025-2783, un zero-day explotado recientemente en ataques dirigidos contra instituciones gubernamentales y medios de comunicación en Rusia, en una campaña de ciberespionaje denominada Operation ForumTroll. Ese ataque, descubierto por los investigadores de Kaspersky Boris Larin e Igor Kuznetsov, lograba evadir las protecciones del sandbox de Chrome de forma indetectable.
Al analizar dicho caso, varios desarrolladores de Firefox detectaron un patrón similar en el código de comunicación entre procesos (IPC) de su navegador. Mozilla ha confirmado que la explotación de esta debilidad permitía que un proceso hijo sin privilegios pudiera obtener identificadores privilegiados desde el proceso padre, facilitando así una vía de escape del sandbox.
«La vulnerabilidad original ya estaba siendo explotada activamente. Esta debilidad afecta exclusivamente a usuarios de Firefox en Windows; otros sistemas operativos no están afectados», detalló Mozilla en su aviso de seguridad.
Un historial reciente de amenazas graves
Este no es el primer incidente de seguridad crítica que afecta a Firefox en los últimos meses. En octubre de 2024, Mozilla corrigió otra vulnerabilidad grave (CVE-2024-9680) utilizada por el grupo ruso RomCom para ejecutar código dentro del sandbox del navegador. Dicha falla fue encadenada con una vulnerabilidad de escalada de privilegios en Windows (CVE-2024-49039), permitiendo la ejecución de código fuera del entorno seguro y facilitando la instalación del malware RomCom.
Meses antes, Firefox también se vio afectado por dos zero-days explotados durante la competición Pwn2Own Vancouver 2024, lo que obligó a Mozilla a lanzar parches en tiempo récord.
Recomendaciones para los usuarios
Mozilla insta a todos los usuarios de Firefox en Windows a actualizar de inmediato a la versión 136.0.4 o a la versión correspondiente de ESR. Esta medida es especialmente urgente para organizaciones que utilicen Firefox en entornos corporativos, donde las implicaciones de una intrusión pueden ser críticas.
La comunidad de ciberseguridad advierte que el descubrimiento de fallos similares en navegadores basados en Chromium y Gecko (el motor de Firefox) sugiere un interés creciente de actores avanzados en explotar debilidades comunes en navegadores para llevar a cabo campañas dirigidas.
Para más detalles técnicos sobre la vulnerabilidad, Mozilla ha publicado el bug 1956398 y ha incluido referencias al CVE de Chrome que inspiró este hallazgo.
Fecha de publicación del aviso de seguridad: 27 de marzo de 2025
Impacto: Crítico
Sistemas afectados: Solo Windows
Versiones corregidas: Firefox 136.0.4, Firefox ESR 115.21.1 y 128.8.1
CVE asociado: CVE-2025-2857
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure