Publicado el por Seguridad CSIRT-CV

Vulnerabilidades de seguridad corregidas en Firefox 136

Mozilla Foundation publicó el Mozilla Foundation Security Advisory 2025-14, que aborda diversas vulnerabilidades de seguridad corregidas en la versión Firefox 136. Estas vulnerabilidades afectan tanto a la versión de escritorio de Firefox como a la versión para dispositivos Android, e incluyen varios fallos de seguridad críticos, desde posibles escapes de sandbox hasta problemas de seguridad en la memoria.

Análisis

Las vulnerabilidades tienen un impacto variado, desde alto hasta bajo, y pueden ser explotadas por atacantes para ejecutar código arbitrario, engañar a los usuarios o realizar ataques de clickjacking. Este documento analiza las principales vulnerabilidades (CVE) reportadas, los recursos afectados y las soluciones disponibles.

    • CVE-2025-1930: AudioIPC StreamData – Uso después de liberar memoria
      En sistemas Windows, un proceso de contenido comprometido podría utilizar datos corruptos enviados a través de AudioIPC para desencadenar un uso después de liberar memoria en el proceso del navegador. Este fallo podría haber permitido una escape de sandbox, lo que habría permitido a un atacante ejecutar código fuera de las restricciones del navegador. Para mitigar este problema, se recomienda actualizar a Firefox 136.

       

    • CVE-2025-1939: Tapjacking en Android Custom Tabs
      En la versión de Firefox para Android, se identificó una vulnerabilidad en el uso de animaciones de transición en las pestañas personalizadas. Este problema podría ser aprovechado por un atacante para engañar al usuario y hacerle otorgar permisos sensibles sin saberlo, al ocultar lo que realmente estaba haciendo. Esta vulnerabilidad afecta a la funcionalidad de las pestañas personalizadas en Android y se soluciona con la actualización a Firefox 136.

       

    • CVE-2025-1931: Uso después de liberar memoria en WebTransportChild
      Se descubrió un fallo de uso después de liberar memoria en la parte del proceso de contenido de una conexión WebTransport. Este problema podría llevar a un crash explotable del navegador, permitiendo a un atacante ejecutar código malicioso o causar una interrupción del servicio. El fallo ha sido corregido en la versión Firefox 136, por lo que es fundamental actualizar.

       

    • CVE-2025-1932: Acceso fuera de límites debido a un comparador inconsistente en XSLT
      Un comparador inconsistente en el motor de XSLT podría haber permitido el acceso fuera de los límites, lo que podría haber sido explotado por un atacante para corromper la memoria o realizar otras acciones maliciosas. Este fallo afecta a versiones de Firefox 122 y posteriores y ha sido solucionado en Firefox 136.

       

    • CVE-2025-1933: Corrupción de JIT en los valores de retorno de WASM i32 en CPUs de 64 bits
      En sistemas de 64 bits, el compilador JIT podría haber utilizado valores de memoria no inicializados al compilar los valores de retorno de WASM i32. Este problema podría haber llevado a la corrupción de memoria y a un comportamiento inesperado del navegador, lo que podría haber sido aprovechado para ejecutar código malicioso. Este fallo ha sido solucionado en Firefox 136.

       

    • CVE-2025-1940: Tapjacking en Android Intent utilizando opciones de selección
      Un atacante podría haber aprovechado un fallo en el manejo de las opciones de selección en Firefox para Android para engañar al usuario y hacerle ejecutar una aplicación externa inesperadamente. Este tipo de tapjacking afecta a la versión móvil de Firefox y ha sido corregido en la última actualización (Firefox 136).

       

    • CVE-2024-9956: Phishing de Passkey en el rango de Bluetooth
      A través de Firefox para Android, un atacante dentro del rango de Bluetooth podría haber utilizado enlaces FIDO: para intentar engañar al usuario y hacerle usar su passkey para iniciar sesión en el dispositivo del atacante. Esto habría permitido que el atacante se autenticara en cuentas ajenas utilizando la passkey del usuario. Este problema ha sido solucionado en Firefox 136.

       

    • CVE-2025-1941: Bypass de la configuración de la pantalla de bloqueo en Firefox Focus para Android
      Bajo ciertas circunstancias, un fallo podría haber permitido que un usuario evitara la configuración de autenticación previa en Firefox Focus para Android. Este fallo podría haber permitido a un atacante eludir la opción de seguridad de requerir autenticación antes de usar la aplicación. La vulnerabilidad ha sido corregida en Firefox 136.

       

    • CVE-2025-1935: Clickjacking en la barra de información de registerProtocolHandler
      Un sitio web podría haber utilizado un ataque de clickjacking para engañar al usuario y hacer que se configurara una página web como el manejador predeterminado de un protocolo URL personalizado. Este fallo tiene un impacto bajo y ha sido solucionado en Firefox 136.

       

    • CVE-2025-1936: Modificación en la interpretación de contenido de un archivo JAR
      A través de una URL jar:, un atacante podría haber aprovechado un fallo en la interpretación del contenido de los archivos JAR, al agregar un %00 y una extensión falsa, lo que podría haber permitido ocultar código malicioso dentro de una extensión web. Este problema ha sido solucionado en Firefox 136.

Recursos afectados

    • Versiones de Firefox anteriores a la 136

Es importante tener en cuenta que estas vulnerabilidades afectan tanto a Firefox en sistemas operativos Windows y Android, como a Firefox Focus en dispositivos Android.

Recomendaciones

La solución principal para todas estas vulnerabilidades es la actualización a Firefox 136, que aborda y corrige los fallos de seguridad mencionados. Los usuarios deben asegurarse de realizar la actualización para mitigar los riesgos asociados con cada una de las CVE descritas.

Referencias

https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/

https://www.hkcert.org/security-bulletin/mozilla-products-multiple-vulnerabilities_20250305