Firefox 149 lanzado con parche para 37 vulnerabilidades que permite ataques remotos

Mozilla lanzó Firefox 149 el 24 de marzo de 2026, brindando uno de los mayores avisos de seguridad en la historia reciente del navegador, abordando 37 vulnerabilidades que abarcan corrupción de memoria, escapes de sandbox, fallas de uso después de la liberación y riesgos de ejecución remota de código en múltiples componentes del navegador. Publicada bajo el aviso MFSA 2026-20, la actualización de seguridad tiene una calificación general de impacto “alto” de Mozilla.

Entre los hallazgos más alarmantes se encuentran seis vulnerabilidades de escape confirmadas del sandbox, un tipo de falla que permite a los atacantes romper el límite de aislamiento de Firefox y ejecutar código arbitrario directamente en el sistema host. Vulnerabilidad de alta gravedad de Firefox Las vulnerabilidades más críticas solucionadas en esta versión incluyen múltiples daños en la memoria y problemas de escape del entorno sandbox. CVE-2026-4687, CVE-2026-4688, CVE-2026-4689 y CVE-2026-4690 son todos fallas de escape de sandbox encontradas en los componentes Telemetría, API de acceso para discapacitados y XPCOM, cada uno con un alto clasificación de gravedad e informado por el investigador Sajeeb Lohani. CVE-2026-4698, un error de compilación errónea JIT en el motor JavaScript, fue descubierto por maxpl0it en colaboración con la Iniciativa zero-day de Trend Micro y plantea un alto riesgo de ejecución de código arbitrario.

Tres vulnerabilidades acumulativas de seguridad de memoria, CVE-2026-4720, CVE-2026-4721 y CVE-2026-4729, completan el nivel de alta gravedad, y Mozilla señaló que "algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario". ID de CVE Descripción de vulnerabilidad Gravedad Reportero CVE-2026-4684 Condición de carrera, uso después de libre Alto Oskar LCVE-2026-4685 Condiciones de contorno incorrectas Alto Sajeeb Lohani CVE-2026-4686 Condiciones de contorno incorrectas Alto Sajeeb Lohani CVE-2026-4687 Escape de la caja de arena a través de condiciones de contorno incorrectas Alto Sajeeb LohaniCVE-2026-4688Escape de Sandbox mediante use-after-freeHighSajeeb LohaniCVE-2026-4689Escape de Sandbox mediante condiciones de contorno incorrectas, desbordamiento de enterosHighSajeeb LohaniCVE-2026-4690Escape de Sandbox mediante condiciones de contorno incorrectas, desbordamiento de enterosHighSajeeb LohaniCVE-2026-4691Use-after-freeAltoFabius ArtrelCVE-2026-4692Escape de la caja de arenaAltoTom RitterCVE-2026-4693Condiciones de contorno incorrectasAltoSajeeb LohaniCVE-2026-4694Condiciones de contorno incorrectas, desbordamiento de enterosAltoSajeeb LohaniCVE-2026-4695Límite incorrecto condicionesAltoAtte KettunenCVE-2026-4696Use-after-freeHighSota WadaCVE-2026-4697Condiciones de contorno incorrectasHighLorenzoCVE-2026-4698Compilación errónea de JITHighmaxpl0it (Trend Micro ZDI)CVE-2026-4699Condiciones de contorno incorrectasHighMatej SmyckaCVE-2026-4720Errores de seguridad de la memoria (corrupción de la memoria/ejecución de código arbitrario)AltoChristian Holler, Gabriele Svelto, Tom Schuster y Mozilla Fuzzing TeamCVE-2026-4729Errores de seguridad de la memoria (corrupción de la memoria/ejecución de código arbitrario)AltoChristian Holler, Fatih Kilic, Tom Schuster y Mozilla Fuzzing EquipoCVE-2026-4721Errores de seguridad de la memoria (corrupción de la memoria/ejecución de código arbitrario)AltoChristian Holler, Timothy Nikkel, Tom Schuster y Mozilla Fuzzing TeamCVE-2026-4700Omisión de mitigaciónModeradopizzahunthack1CVE-2026-4701Usar después de la liberaciónModeradoGary KwongCVE-2026-4722Privilegio escaladaModeradoNika LayzellCVE-2026-4702Mal compilación JITModeradoBen Asher et al.

Consultar publicación original ↗