Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad, descubierta por Manfred Paul en colaboración con Trend Micro's Zero Day Initiative, permite a un atacante realizar operaciones de lectura o escritura fuera de los límites en objetos JavaScript al confundir los tamaños de los índices de arreglos. Esta falla fue explotada como día cero durante el concurso Pwn2Own Berlin 2025.
Recursos afectados
-
Mozilla Firefox versiones anteriores a la 138.0.4
-
Firefox ESR versiones anteriores a la 128.10.1
-
Firefox ESR versiones anteriores a la 115.23.1
-
Thunderbird versiones anteriores a la 138.0.2
-
Thunderbird versiones anteriores a la 128.10.2
Solución
Mozilla ha lanzado actualizaciones de seguridad para corregir esta vulnerabilidad. Se recomienda actualizar a las siguientes versiones:
-
Firefox 138.0.4
-
Firefox ESR 128.10.1
-
Firefox ESR 115.23.1
-
Thunderbird 138.0.2
-
Thunderbird 128.10.2
Recomendaciones
-
Actualizar inmediatamente a las versiones corregidas mencionadas.
-
Aplicar parches de seguridad proporcionados por los distribuidores de sistemas operativos, como Debian y Ubuntu.
-
Revisar y aplicar las políticas de seguridad recomendadas por Mozilla.
Referencias