El 24 de febrero de 2026 la Fundación Mozilla sacó Firefox 148 acompañado del aviso de seguridad MFSA 2026-13, que tapa más de 40 vulnerabilidades. En conjunto se documentaron 45 CVE distintos: 28 de alto impacto, 13 de impacto moderado y 4 de bajo impacto. Con tantos fallos y de tanta gravedad, es de esas actualizaciones que más vale aplicar sin esperar.
Qué se ha corregido
De lo más serio hay dos escapes del sandbox de gráficos en WebRender, el motor de renderizado de Firefox que tira de la GPU:
- CVE-2026-2760 y CVE-2026-2761: los dos descritos como escapes del sandbox de WebRender por condiciones de contorno incorrectas. Los reportó el investigador Oskar L. Un escape de sandbox es grave porque deja que código que debería quedarse encerrado en una zona aislada del navegador toque el resto del sistema.
En el motor JavaScript cayeron dos fallos de gestión de memoria:
- CVE-2026-2763: un use-after-free (uso de memoria tras ser liberada) en el motor JavaScript.
- CVE-2026-2764: una miscompilación del JIT que termina también en un use-after-free.
Los dos los detectó un equipo de investigación formado, entre otros, por Evyatar Ben Asher y Nicholas Carlini, que se apoyaron en Claude de Anthropic durante el análisis.
Mozilla documentó además varios fallos de seguridad de memoria (CVE-2026-2807, CVE-2026-2792 y CVE-2026-2793) con evidencias de corrupción de memoria. Avisa de que, poniéndole bastante empeño, alguno de estos errores podría haber servido para ejecutar código arbitrario.
A quién afecta y qué gravedad tiene
La actualización toca a los usuarios de Firefox en todas las plataformas: Linux, Windows y macOS. Los fallos de seguridad de memoria y los use-after-free son justo la clase de vulnerabilidad que históricamente se ha encadenado para lograr ejecución remota de código a través de una página web manipulada, aunque MFSA 2026-13 no señala que ninguno de ellos estuviera explotándose de forma activa cuando se publicó.
Los 28 fallos clasificados como de alto impacto bastan para tratar esta actualización como prioritaria. En entornos corporativos y en distribuciones Linux que empaquetan Firefox, lo suyo es aplicar las actualizaciones del repositorio en cuanto aparezcan.
Mitigación
La mitigación es sencilla: actualizar a Firefox 148 (o a la versión ESR correspondiente que traiga estas correcciones). En casi todas las distribuciones Linux te basta con actualizar el paquete firefox o firefox-esr desde el gestor de paquetes (apt, dnf, pacman, etc.) una vez que los mantenedores publiquen la versión corregida. Si usas la compilación oficial de Mozilla, el navegador suele actualizarse solo; puedes forzar la comprobación en Ayuda → Acerca de Firefox.
Mantener el navegador al día es de las defensas más eficaces frente a ataques que llegan por la web, porque la mayoría de exploits aprovechan fallos ya corregidos en versiones que el usuario no se ha molestado en instalar.
Fuente
- Aviso oficial: Mozilla Foundation Security Advisory MFSA 2026-13
- Detalle del CVE principal: CVE-2026-2763 en NVD