Mozilla lanzó Firefox 149 el 24 de marzo de 2026 y el boletín que lo acompaña (MFSA 2026-20) recoge 34 vulnerabilidades corregidas. De ellas, 17 están calificadas como de alto impacto, 16 de impacto moderado y 2 de impacto bajo. No es un paquete cosmético: hay fallos de memoria con evidencia de corrupción que, según la propia Mozilla, podrían aprovecharse para ejecutar código arbitrario.
Qué falla
El fallo que más llama la atención del lote es CVE-2026-4684, una condición de carrera con uso después de liberación (use-after-free) en WebRender, el motor de composición gráfica que Firefox usa para pintar las páginas acelerando por GPU. Cuando un objeto se libera mientras otro hilo todavía lo está usando, el navegador puede acabar leyendo o escribiendo en memoria que ya no le pertenece. Ese tipo de bug es la materia prima clásica para encadenar un escape del sandbox y, a partir de ahí, ejecutar código en el equipo de la víctima. Lo reportó Oskar L.
Junto a él aparecen tres entradas de “memory safety bugs” que Mozilla agrupa como suele hacer cada versión: CVE-2026-4720, CVE-2026-4721 y CVE-2026-4729. Son recopilaciones de errores de seguridad de memoria detectados durante el desarrollo. Mozilla reconoce que algunos mostraban indicios de corrupción de memoria y asume que, con suficiente esfuerzo, parte de ellos podría haberse explotado para ejecutar código. El boletín también menciona fallos de escape del sandbox.
A quién afecta
A cualquiera que use Firefox en escritorio (Windows, macOS o Linux) en una versión anterior a la 149. Para explotar la mayoría de estos fallos basta con que el usuario visite una página web preparada para ello, sin más interacción. Eso convierte el navegador, como siempre, en una de las superficies de ataque más expuestas de un sistema Linux por lo demás bien configurado.
Gravedad
Mozilla no la sitúa entre las versiones “críticas” de cierre inmediato, pero 17 fallos de alto impacto, varios con potencial de ejecución de código y escape de sandbox, dejan poco margen para la calma. Cuando un detalle de un use-after-free queda público en un boletín, la ventana entre la publicación del parche y la aparición de exploits suele ser corta.
Mitigación
La respuesta es directa: actualizar a Firefox 149. Si dependes de la rama de soporte extendido, Mozilla publicó parches para un subconjunto de estos problemas en Firefox ESR 140.9 y ESR 115.34, además de Thunderbird 149 y Thunderbird ESR 140.9. En la mayoría de distribuciones Linux la actualización llega por el gestor de paquetes; comprueba que tu repositorio ya sirve la 149 (o la ESR correspondiente) y reinicia el navegador para que cargue la versión parcheada. Firefox suele aplicar la actualización en segundo plano, pero el binario nuevo no entra en uso hasta que cierras y vuelves a abrir.