31 vulnerabilidades y riesgo de pérdida de archivos: esto puede pasar si aplazas la instalación de la última actualización de Firefox
Mozilla cerró fallos que, por su descripción escueta, resultan fáciles de subestimar.
Mozilla cerró en Firefox 151 un gran conjunto de vulnerabilidades, entre las cuales hay errores con puntuación alta. Parte de los problemas afecta al aislamiento de procesos, al tratamiento del contenido web y a los mecanismos de memoria, por lo que conviene no retrasar la actualización del navegador.
La Fundación Mozilla publicó el boletín de seguridad 2026-46 del 19 de mayo de 2026. En él se enumeran 31 vulnerabilidades corregidas en Firefox 151. Cuatro problemas recibieron nivel de gravedad alto por separado, y otras dos agrupaciones de errores de memoria también fueron evaluadas como graves.
La vulnerabilidad más notable, CVE-2026-8945, permitía escapar de la zona de pruebas (sandbox) en Firefox y Firefox Focus para Android. El problema fue reportado por Daisuke Hatakeyama. Otra falla seria, CVE-2026-8948, afectaba al componente DOM: Networking y podía permitir eludir la política de mismo origen. Ese mecanismo protege a los sitios del acceso a los datos entre sí, por lo que una falla en su funcionamiento crea un riesgo para la privacidad.
La actualización de Firefox también arregló CVE-2026-8946 en el componente Audio/Video: Web Codecs y CVE-2026-8947 en DOM: Bindings. La primera está relacionada con una comprobación incorrecta de límites, la segunda con el acceso a memoria ya liberada. Ese tipo de errores suelen requerir explotaciones complejas, pero en un escenario favorable pueden ayudar a un atacante a interrumpir el funcionamiento del navegador o a ejecutar acciones no deseadas.
El boletín también incluyó vulnerabilidades de nivel medio de gravedad. Entre ellas, elevación de privilegios en el mecanismo de actualización de aplicaciones, en DOM: Workers y Enterprise Policies, filtraciones de datos y escapes de la zona de pruebas en Security: Process Sandboxing, así como problemas en Networking: HTTP, Networking: JAR, Widget: Win32 y componentes Audio/Video. Además, Mozilla corrigió por separado un problema de suplantación de la interfaz en la barra de herramientas de Firefox para Android.
Las fallas de bajo nivel afectaron a WebExtensions, Form Autofill, Web Speech, Popup Blocker, IP Protection, WebGPU, WebRTC y varios mecanismos de protección del DOM. Muchas de ellas están relacionadas con la suplantación de elementos de la interfaz, la divulgación de datos, la elusión de protecciones o la elevación de privilegios en subsistemas concretos.
Un lugar destacado en el boletín lo ocupan los errores de seguridad de memoria. Mozilla indicó que en Firefox 150, Firefox ESR 140.10 y Firefox ESR 115.35 había defectos que mostraban signos de corrupción de memoria. Según los desarrolladores, con suficientes recursos algunas de esas vulnerabilidades podrían haber llevado a la ejecución de código arbitrario. Las correcciones se incorporaron en Firefox 151, Firefox ESR 140.11 y Firefox ESR 115.36.