Mozilla lanzó Firefox 151 el 19 de mayo de 2026 con el aviso MFSA 2026-46, que reúne 27 vulnerabilidades. El bloque más serio combina un escape del sandbox en la versión Android del navegador, un use-after-free en la capa que conecta JavaScript con el DOM y un fallo que rompe la política de mismo origen. Varios de estos errores son de severidad alta y algunos pueden terminar en ejecución de código arbitrario.
Qué se ha corregido
El fallo que más llama la atención es CVE-2026-8945, un escape de sandbox en Firefox y Firefox Focus para Android. El sandbox es la barrera que aísla el contenido de una web del resto del dispositivo; cuando se rompe, una página maliciosa puede salir de ese recinto y tocar partes del sistema que no debería. Lo reportaron Daisuke Hatakeyama y Shota Matsuda.
CVE-2026-8947 es un use-after-free en el componente DOM Bindings (WebIDL), la pieza que expone las APIs del navegador a JavaScript. Un use-after-free ocurre cuando el código sigue usando un objeto de memoria que ya se ha liberado, y suele ser explotable para corromper memoria y, en el peor caso, ejecutar código. Lo descubrió Satoki Tsuji.
El tercer fallo destacado, CVE-2026-8948, es un bypass de la política de same-origin en el componente de red del DOM. Esa política es la que impide que un sitio lea datos de otro; saltársela abre la puerta a robar información entre pestañas o dominios. Lo reportó satyamasd.
El aviso incluye además varios errores de seguridad de memoria agrupados (CVE-2026-8973, CVE-2026-8974, CVE-2026-8975) que Mozilla, con su clasificación habitual, considera que algunos podrían llevar a ejecución de código arbitrario. El resto del lote toca componentes como códecs de audio y vídeo, red, widgets y extensiones, con severidades moderadas y bajas.
A quién afecta y cómo protegerse
Cualquier instalación anterior a Firefox 151 está expuesta. El parche de Android (CVE-2026-8945) es relevante sobre todo para quien use Firefox o Firefox Focus en móvil. En escritorio (Linux, Windows, macOS), el peso lo llevan el use-after-free del DOM y el bypass de same-origin, explotables con solo visitar una página preparada.
Las versiones que corrigen estos fallos son:
- Firefox 151
- Firefox ESR 140.11
- Firefox ESR 115.36
Si usas una rama ESR en un entorno corporativo, asegúrate de saltar a 140.11 o 115.36 según tu canal. En las distribuciones Linux el paquete suele llegar por el repositorio oficial poco después; en Debian y Ubuntu revisa que tu firefox-esr o firefox esté en la versión parcheada. Mozilla activa las actualizaciones automáticas por defecto, pero vale la pena forzar la comprobación desde el menú de ayuda y reiniciar el navegador para que el cambio surta efecto.
No hay constancia pública de explotación activa en el momento del aviso, pero los fallos de memoria en navegadores tienen un historial largo de acabar en exploits reales, así que no conviene aplazar la actualización.