Mozilla no perdió el tiempo y lanzó parches de seguridad urgentes para arreglar dos vulnerabilidades de día cero en Firefox que fueron expuestas durante el concurso de hacking Pwn2Own Berlin 2025. Las actualizaciones, que cubren tanto la versión de escritorio como la de Android, además de las ediciones con soporte extendido (ESR), salieron apenas unas horas después de que terminara el evento, justo cuando se demostró el segundo fallo.
La primera de estas vulnerabilidades, identificada como CVE-2025-4918, tiene que ver con un error de lectura y escritura fuera de los límites en el motor de JavaScript, específicamente al manejar objetos Promise. Sí, suena técnico, pero en resumen: podía abrir la puerta a que alguien ejecutara código malicioso si no se parchaba rápido.
El segundo día de Pwn2Own Berlin 2025 trajo una demostración bastante impactante: los investigadores de seguridad Edouard Bochin y Tao Yan, del equipo de Palo Alto Networks, lograron explotar una falla crítica en Firefox y se llevaron 50.000 dólares como recompensa.
Luego vino otra vulnerabilidad, catalogada como CVE-2025-4919, que permitía a los atacantes hacer lecturas y escrituras fuera de los límites de un objeto JavaScript, todo por una confusión en los tamaños de índice de un arreglo. Esta fue descubierta por Manfred Paul, quien también logró acceso no autorizado al renderizador del navegador... y sí, se ganó otros 50.000 dólares por su hazaña.
Aunque ambas vulnerabilidades fueron clasificadas como críticas por Mozilla (porque representaban un riesgo real), la buena noticia es que ninguno de los investigadores logró romper el sandbox de Firefox, es decir, esa “zona segura” que impide que un ataque llegue al resto del sistema.
“Este año, a diferencia de los anteriores, ningún equipo logró escapar de nuestro entorno protegido”, explicó Mozilla en su comunicado. También mencionaron que eso se debe a mejoras recientes en la arquitectura del sandbox, que han logrado bloquear muchos tipos de ataques que antes sí funcionaban.
Ahora bien, aunque hasta el momento no hay señales de que estas fallas hayan sido explotadas fuera del concurso, el simple hecho de que ya se demostraron públicamente podría motivar a atacantes reales a intentarlo.
Por eso, Mozilla actuó rápido: armó un equipo de respuesta internacional que trabajó contrarreloj para analizar los fallos, probar soluciones y lanzar las actualizaciones de seguridad cuanto antes.
¿Usas Firefox? Esto es lo que debes hacer ahora mismo
Para mantenerte protegido, actualiza ya a una de estas versiones:
-
Firefox 138.0.4
-
Firefox ESR 128.10.1
-
Firefox ESR 115.23.1
El evento Pwn2Own Berlin 2025 cerró el sábado con más de un millón de dólares repartidos en premios, y el equipo STAR Labs SG se llevó el título de "Master of Pwn". Dato curioso: el año pasado, en Pwn2Own Vancouver 2024, también se revelaron dos fallos zero-day en Firefox... y, al igual que ahora, Mozilla los solucionó al día siguiente.
