Recentment, la firma de seguretat AISLE ha descobert una vulnerabilitat crítica en el navegador Mozilla Firefox, identificada com a CVE-2025-13016. Esta vulnerabilitat podria haver permés que un atacant executara codi arbitrari en els dispositius dels usuaris.
Anàlisi
La vulnerabilitat afecta Mozilla Firefox i el seu component WebAssembly (Wasm). És un error de tipus desbordament de memòria (buffer overflow) que ocorre durant el procés de neteja de memòria (garbage collection, GC), en el qual el càlcul incorrecte dels punters de memòria permet la sobreescriptura de dades. Este comportament podria ser explotat per un atacant per a executar codi maliciós de manera arbitrària en el sistema víctima.
Té una puntuació de severitat CVSS de 7.5 (alta), la qual cosa indica que, encara que no es tracta d’una vulnerabilitat crítica, continua sent prou perillosa per a comprometre la seguretat dels usuaris que no hagen actualitzat a la versió corregida.
L’explotació es realitza a través de pàgines web malicioses dissenyades per a aprofitar la vulnerabilitat quan el navegador es troba sota una alta pressió de memòria. Un atacant podria induir la víctima a visitar una pàgina web maliciosa i executar codi no autoritzat en la seua màquina.
Recursos afectats
La vulnerabilitat afecta dispositius amb Windows, macOS, Linux i Android
- Usuaris de Firefox en versions anteriors a la 145. Això inclou tant la versió estàndard de Firefox com la versió Extended Support Release (ESR).
- Usuaris del client Mozilla Thunderbird en versions anteriors a la 145 (tant en la versió estàndard com en la versió ESR).
Recomanacions
- Actualitzar el programari Firefox a la versió 145 o superior.
- Per a Thunderbird, actualitzar a la versió 145 o superior.
- Evitar obrir enllaços no verificats o navegar en llocs que no siguen de confiança.
Referències