Recientemente, la firma de seguridad AISLE descubrió una vulnerabilidad crítica en el navegador Mozilla Firefox, identificada como CVE-2025-13016. Esta vulnerabilidad podría haber permitido que un atacante ejecutase código arbitrario en los dispositivos de los usuarios.
Análisis
La vulnerabilidad afecta a Mozilla Firefox y su componente WebAssembly (Wasm). Es un error de tipo desbordamiento de búfer (buffer overflow) que ocurre durante el proceso de recolección de basura (Garbage Collection, GC), en el cual el cálculo incorrecto de los punteros de memoria permite la sobrescritura de datos. Este comportamiento podría ser explotado por un atacante para ejecutar código malicioso de forma arbitraria en el sistema víctima.
Tiene una puntuación de severidad CVSS de 7.5 (alta), lo que indica que, aunque no se trata de una vulnerabilidad crítica, sigue siendo lo suficientemente peligrosa como para comprometer la seguridad de los usuarios que no hayan actualizado a la versión corregida.
La explotación se realiza a través de páginas web maliciosas diseñadas para aprovechar la vulnerabilidad cuando el navegador se encuentra bajo una alta presión de memoria. Un atacante podría inducir a la víctima a visitar una página web maliciosa y ejecutar código no autorizado en su máquina.
Recursos afectados
La vulnerabilidad afecta a dispositivos con Windows, macOS, Linux y Android.
- Usuarios de Firefox en versiones anteriores a la 145. Esto incluye tanto la versión estándar de Firefox como la versión Extended Support Release (ESR).
- Usuarios del cliente Mozilla Thunderbird en versiones anteriores a la 145 (tanto en la versión estándar como en la versión ESR).
Recomendaciones
- Actualizar el software Firefox a la versión 145 o superior.
- Para Thunderbird, actualizar a la versión 145 o superior.
- Evitar abrir enlaces no verificados o navegar en sitios que no sean de confianza.
Referencias