Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Cuando FontFaceSet libera memoria (por ejemplo, de una fuente cargada), una referencia posterior podría usar esa memoria liberada, provocando un comportamiento inesperado, caída del navegador o explotación remota. La vulnerabilidad fue reportada por LJP y HexRabbit (DEVCORE Research Team).
Recursos afectados
- Mozilla Firefox para escritorio versiones anteriores a 140.
- Mozilla Firefox ESR versiones anteriores a 115.25 y 128.12.
Solución
Actualizar a Firefox 140 o Firefox ESR 115.25 / 128.12 (según la línea instalada); los parches ya están disponibles desde el 24 de junio de 2025.
Recomendaciones
- Actualizar de inmediato a Firefox 140 o ESR 115.25/128.12.
- En entornos corporativos, realizar pruebas de compatibilidad tras la actualización.
- Implementar mecanismos de mitigación como sandboxing y políticas que prevengan la ejecución de código arbitrario desde el navegador.
- Monitorear alertas y actualizar automáticamente las extensiones y plugins vinculados a renderizado de fuentes web.
Referencias