Mozilla ha lanzado actualizaciones urgentes para solucionar una falla crítica en su navegador Firefox para Windows. Este problema de seguridad, identificado como CVE-2025-2857, podría permitir el escape del sandbox, comprometiendo la seguridad del sistema. La actualización llega pocos días después de que Google corrigiera una falla similar en Google Chrome, la cual ya había sido explotada activamente como un ataque de día cero.
Detalles de la vulnerabilidad CVE-2025-2857
Según el informe oficial de Mozilla, la falla se debe a un manejo incorrecto de identificadores dentro de la comunicación entre procesos (IPC). En palabras de Mozilla:
«Tras el reciente escape de Chrome sandbox (CVE-2025-2783), varios desarrolladores de Firefox identificaron un patrón similar en nuestro código IPC. Un proceso hijo comprometido podría hacer que el proceso principal devuelva un identificador poderoso involuntario, lo que llevaría a un escape de la caja de arena».
Este tipo de vulnerabilidad es especialmente preocupante porque permite a atacantes eludir las medidas de seguridad de los navegadores, facilitando la ejecución de código malicioso en el sistema del usuario.
Versiones afectadas y corrección del fallo
La vulnerabilidad afecta a las siguientes versiones de Firefox:
- Firefox
- Firefox ESR (Extended Support Release)
Mozilla ha corregido este problema en las versiones más recientes:
- Firefox 136.0.4
- Firefox ESR 115.21.1
- Firefox ESR 128.8.1
Hasta la fecha, no hay evidencia de que CVE-2025-2857 haya sido explotado activamente en ataques reales, pero se recomienda a todos los usuarios actualizar su navegador de inmediato para evitar posibles riesgos.
Actualización en el navegador Tor
El Proyecto Tor, conocido por su enfoque en la privacidad y el anonimato, también ha abordado esta vulnerabilidad en su navegador. La última versión de Tor Browser 14.0.8 incluye el parche de seguridad para los usuarios de Windows, garantizando una navegación más segura.
Google Chrome y CVE-2025-2783: un ataque en la naturaleza
El parche de Mozilla llega poco después de que Google solucionara una vulnerabilidad crítica en Chrome, identificada como CVE-2025-2783. Esta falla fue utilizada en ataques dirigidos contra:
- Medios de comunicación
- Instituciones educativas
- Organizaciones gubernamentales en Rusia
Kaspersky, empresa de ciberseguridad, detectó esta actividad maliciosa en marzo de 2025. Según su análisis, los atacantes distribuían el exploit a través de correos electrónicos de phishing que contenían enlaces maliciosos. Cuando la víctima hacía clic, el sitio web controlado por los atacantes explotaba la falla en Chrome para ejecutar código malicioso.
Lo más preocupante de CVE-2025-2783 es que se combinó con otro exploit desconocido para evadir el sandbox y lograr ejecución remota de código (RCE). Sin embargo, la aplicación del parche de Google bloquea esta cadena de ataque, neutralizando la amenaza.
Respuesta de las autoridades de ciberseguridad
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha añadido CVE-2025-2783 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Además, ha ordenado a las agencias federales aplicar las mitigaciones necesarias antes del 17 de abril de 2025 para prevenir posibles ataques.
Recomendaciones para los usuarios
Para protegerse contra posibles amenazas, se recomienda a todos los usuarios de Firefox, Chrome y Tor:
- Actualizar su navegador a la última versión disponible.
- Evitar hacer clic en enlaces sospechosos en correos electrónicos o mensajes no solicitados.
- Utilizar herramientas de seguridad adicionales, como extensiones de protección contra phishing.
- Habilitar actualizaciones automáticas para garantizar la protección continua.
- Monitorear las alertas de seguridad emitidas por Mozilla, Google y otras entidades de ciberseguridad.
En conclusión, las vulnerabilidades en navegadores web representan un riesgo significativo para la seguridad de los usuarios. Mozilla y Google han respondido rápidamente con actualizaciones para mitigar las amenazas derivadas de CVE-2025-2857 y CVE-2025-2783. Sin embargo, la responsabilidad también recae en los usuarios, quienes deben asegurarse de mantener sus navegadores actualizados y seguir buenas prácticas de seguridad en línea. Mantente informado y protege tu navegación.
Fuente: The Hacker News
