Mozilla publico el 7 de abril de 2026 el boletin MFSA 2026-25, que acompaña a Firefox 149.0.2 y corrige varios fallos de seguridad de memoria clasificados con impacto alto. Algunos de esos errores mostraban indicios de corrupcion de memoria, lo que en la practica significa que un atacante con suficiente trabajo por delante podria llegar a ejecutar codigo arbitrario dentro del navegador. No es un caso de explotacion observada en la calle, pero el riesgo es serio y conviene parchear pronto.
Que corrige el boletin
El aviso reune varias CVE. Tres de ellas son los habituales errores de seguridad de memoria que el equipo de fuzzing de Mozilla y otros investigadores van encontrando:
- CVE-2026-5731, CVE-2026-5734 y CVE-2026-5735: fallos de seguridad de memoria de impacto alto. Mozilla indica que algunos mostraban evidencia de corrupcion de memoria y que, con suficiente esfuerzo, podrian aprovecharse para ejecutar codigo arbitrario. Los reportaron Brian Grinstead, Christian Holler, Tom Schuster y el equipo de fuzzing de Mozilla.
- CVE-2026-5732: condiciones de limite incorrectas y un desbordamiento de entero en el componente grafico de texto. Impacto alto. Reportado por Sajeeb Lohani.
- CVE-2026-5733: condiciones de limite incorrectas en WebGPU. Impacto alto. Reportado por Inseo An.
El patron es conocido: la mayoria de estos fallos no tienen un exploit publico, pero la corrupcion de memoria en un navegador es justo el tipo de bug que termina convirtiendose en cadena de ataque si nadie lo tapa.
A quien afecta
Afecta a Firefox antes de la version 149.0.2. Como Thunderbird comparte buena parte del motor de Firefox, el cliente de correo tambien recibe las correcciones equivalentes. Las ramas ESR estan cubiertas segun el fallo: la rama CVE-2026-5731, por ejemplo, se corrige tambien en Firefox ESR 115.34.1 y ESR 140.9.1, ademas de Thunderbird 149.0.2 y Thunderbird ESR 140.9.1.
Si usas una distribucion de Linux, el paquete de Firefox de tu repositorio o la version Flatpak/Snap deberian incorporar estas correcciones poco despues de su publicacion. Conviene revisar que la version instalada sea 149.0.2 o superior.
Gravedad real
Mozilla marca el conjunto como impacto alto, no critico. La diferencia importa: aqui no hay constancia de explotacion activa ni de un zero-day. Aun asi, un fallo de seguridad de memoria con indicios de corrupcion en el proceso del navegador es de los que mas conviene cerrar rapido, porque el navegador procesa contenido de webs no fiables todo el tiempo. Una pagina maliciosa basta como vector de entrada.
Que hacer
Actualiza a Firefox 149.0.2 (o la version ESR correspondiente) y a Thunderbird 149.0.2. En el escritorio, Firefox suele descargar la actualizacion en segundo plano; basta con reiniciar el navegador para aplicarla. Puedes forzar la comprobacion desde el menu, en Ayuda, “Acerca de Firefox”.
En Linux, actualiza por tu gestor de paquetes habitual:
- Debian/Ubuntu:
sudo apt update && sudo apt upgrade firefox(ofirefox-esr). - Fedora:
sudo dnf upgrade firefox. - Arch:
sudo pacman -Syu firefox. - Flatpak:
flatpak update org.mozilla.firefox.
Para Thunderbird, el mismo procedimiento con el paquete equivalente. Reinicia la aplicacion despues de actualizar para que el binario nuevo entre en uso.
Fuente
- Mozilla Foundation Security Advisory MFSA 2026-25: https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/