Fecha de publicación: Mié, 30/04/2025 - 11:09

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

El mecanismo de actualización de Mozilla Firefox presentaba una debilidad que permitía a un proceso de usuario de integridad media interferir con el actualizador que se ejecuta con privilegios elevados. A través de la manipulación del comportamiento de bloqueo de archivos y la inyección de código en el proceso privilegiado, un atacante local podía eludir los controles de acceso establecidos. Esto habilitaba la posibilidad de realizar operaciones con archivos a nivel de SISTEMA en rutas controladas por el usuario, facilitando una escalada de privilegios.

Recursos afectados

  • Firefox versiones anteriores a 138

  • Firefox ESR versiones anteriores a 128.10

  • Firefox ESR versiones anteriores a 115.23

  • Thunderbird versiones anteriores a 138

  • Thunderbird ESR versiones anteriores a 128.10

Solución

Mozilla ha publicado actualizaciones que corrigen esta vulnerabilidad. Se recomienda actualizar a:

  • Firefox 138 o superior

  • Firefox ESR 128.10 o superior

  • Firefox ESR 115.23 o superior

  • Thunderbird 138 o superior

  • Thunderbird ESR 128.10 o superior

Recomendaciones

  • Actualizar inmediatamente Firefox y Thunderbird a sus versiones más recientes.

  • Restringir el acceso físico y lógico a estaciones de trabajo y servidores.

  • Supervisar eventos relacionados con procesos de actualización para detectar anomalías.

  • Aplicar el principio de mínimo privilegio para usuarios del sistema.

 

Referencias

Mozilla

NVD