SeguretatPublicat el 7 d’abril del 2026· 3 min de lectura

Firefox 149.0.2 tapa errors de seguretat de memoria d'impacte alt (MFSA 2026-25)

El 7 d’abril de 2026 Mozilla va publicar el butlleti MFSA 2026-25, que acompanya Firefox 149.0.2 i corregeix diversos errors de seguretat de memoria classificats amb impacte alt. Alguns d’aquests errors mostraven indicis de corrupcio de memoria, cosa que a la practica vol dir que un atacant amb prou feina per davant podria arribar a executar codi arbitrari dins del navegador. No hi ha constancia d’explotacio al carrer, pero el risc es seriós i val la pena aplicar el pedaç aviat.

Que corregeix el butlleti

L’avis aplega diverses CVE. Tres son els errors de seguretat de memoria habituals que l’equip de fuzzing de Mozilla i altres investigadors van trobant:

CVE-2026-5731, CVE-2026-5734 i CVE-2026-5735: errors de seguretat de memoria d’impacte alt. Mozilla indica que alguns mostraven evidencia de corrupcio de memoria i que, amb prou esforç, es podrien aprofitar per executar codi arbitrari. Els van reportar Brian Grinstead, Christian Holler, Tom Schuster i l’equip de fuzzing de Mozilla.
CVE-2026-5732: condicions de limit incorrectes i un desbordament d’enter al component grafic de text. Impacte alt. Reportat per Sajeeb Lohani.
CVE-2026-5733: condicions de limit incorrectes a WebGPU. Impacte alt. Reportat per Inseo An.

El patro es conegut: la majoria d’aquests errors no tenen cap exploit public, pero la corrupcio de memoria en un navegador es just el tipus de fallada que acaba convertint-se en cadena d’atac si ningu la tapa.

A qui afecta

Afecta Firefox abans de la versio 149.0.2. Com que Thunderbird comparteix bona part del motor de Firefox, el client de correu tambe rep les correccions equivalents. Les branques ESR estan cobertes segons l’error: la branca CVE-2026-5731, per exemple, es corregeix tambe a Firefox ESR 115.34.1 i ESR 140.9.1, a mes de Thunderbird 149.0.2 i Thunderbird ESR 140.9.1.

Si fas servir una distribucio de Linux, el paquet de Firefox del teu repositori o la versio Flatpak/Snap haurien d’incorporar aquestes correccions poc despres de la publicacio. Val la pena comprovar que la versio instal·lada sigui 149.0.2 o superior.

Gravetat real

Mozilla marca el conjunt com a impacte alt, no critic. La diferencia importa: aqui no hi ha constancia d’explotacio activa ni de cap zero-day. Tot i aixi, un error de seguretat de memoria amb indicis de corrupcio al proces del navegador es dels que mes convé tancar de pressa, perque el navegador processa contingut de webs no fiables tot el dia. Una pagina maliciosa ja serveix de via d’entrada.

Que cal fer

Actualitza a Firefox 149.0.2 (o la versio ESR corresponent) i a Thunderbird 149.0.2. A l’escriptori, Firefox sol descarregar l’actualitzacio en segon pla; reiniciant el navegador s’aplica. Pots forçar la comprovacio des del menu, a Ajuda, “Quant al Firefox”.

A Linux, actualitza pel teu gestor de paquets habitual:

Debian/Ubuntu: sudo apt update && sudo apt upgrade firefox (o firefox-esr).
Fedora: sudo dnf upgrade firefox.
Arch: sudo pacman -Syu firefox.
Flatpak: flatpak update org.mozilla.firefox.

Per a Thunderbird, el mateix procediment amb el paquet equivalent. Reinicia l’aplicacio despres d’actualitzar perque el binari nou entri en us.

Font

Mozilla Foundation Security Advisory MFSA 2026-25: https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/