Mozilla parchea fallo crítico en Firefox explotado activamente

La vulnerabilidad permitía evadir el sandbox del navegador en Windows. El bug, similar a uno corregido en Chrome, afectaba también a Tor Browser. Se actualizó a Firefox 136.0.4 tras detectar su explotación en ataques reales.

«Escape del sandbox»: cómo funcionaba el fallo

Mozilla confirmó que el error, registrado como CVE-2025-2857, permitía «saltar las barreras de seguridad que aíslan al navegador del sistema». El investigador Boris Larin de Kaspersky vinculó su origen al mismo problema hallado en Chrome, parcheado días antes. Los atacantes podían acceder a apps y datos externos.

Navegadores afectados

La vulnerabilidad comprometía a Firefox para Windows y otros basados en su código, como Tor Browser (actualizado a 14.0.7). Mozilla no detalló el número de usuarios expuestos, pero instó a aplicar la actualización «inmediatamente».

Rastro de ataques selectivos

Kaspersky asoció explotaciones similares a ataques contra periodistas, instituciones educativas y entidades gubernamentales en Rusia. Aunque no se confirmó si este caso específico se usó allí, el patrón coincide con campañas de espionaje documentadas previamente.

Cuando el código compartido es un riesgo

La dependencia de motores comunes entre navegadores facilita que fallos como este se repliquen. Chrome y Firefox ya habían corregido vulnerabilidades relacionadas con el sandbox en los últimos dos años, según registros públicos.

Actualizar es la única defensa

La corrección subraya la necesidad de mantener los navegadores actualizados, especialmente en entornos sensibles. Mozilla no reportó daños concretos, pero la explotación activa del bug incrementa su urgencia.