Mozilla va llançar Firefox 149 el 24 de març de 2026 i el butlletí que l’acompanya (MFSA 2026-20) recull 34 vulnerabilitats corregides. D’aquestes, 17 estan qualificades d’alt impacte, 16 d’impacte moderat i 2 d’impacte baix. No és un paquet cosmètic: hi ha errors de memòria amb evidència de corrupció que, segons la mateixa Mozilla, es podrien aprofitar per executar codi arbitrari.
Què falla
L’error que més crida l’atenció del lot és CVE-2026-4684, una condició de cursa amb ús després d’alliberar (use-after-free) a WebRender, el motor de composició gràfica que Firefox fa servir per pintar les pàgines accelerant per GPU. Quan un objecte s’allibera mentre un altre fil encara l’està fent servir, el navegador pot acabar llegint o escrivint en memòria que ja no li pertany. Aquest tipus d’error és la matèria primera clàssica per encadenar una fugida del sandbox i, a partir d’aquí, executar codi a l’equip de la víctima. El va reportar l’Oskar L.
Al seu costat hi ha tres entrades de “memory safety bugs” que Mozilla agrupa com sol fer a cada versió: CVE-2026-4720, CVE-2026-4721 i CVE-2026-4729. Són reculls d’errors de seguretat de memòria detectats durant el desenvolupament. Mozilla reconeix que alguns mostraven indicis de corrupció de memòria i assumeix que, amb prou esforç, una part s’hauria pogut explotar per executar codi. El butlletí també esmenta errors de fugida del sandbox.
A qui afecta
A qualsevol que faci servir Firefox a l’escriptori (Windows, macOS o Linux) en una versió anterior a la 149. Per explotar la majoria d’aquests errors n’hi ha prou que l’usuari visiti una pàgina web preparada, sense cap més interacció. Això converteix el navegador, com sempre, en una de les superfícies d’atac més exposades d’un sistema Linux altrament ben configurat.
Gravetat
Mozilla no la situa entre les versions “crítiques” de tancament immediat, però 17 errors d’alt impacte, uns quants amb potencial d’execució de codi i fugida del sandbox, deixen poc marge per a la calma. Quan el detall d’un use-after-free queda públic en un butlletí, la finestra entre la publicació del pegat i l’aparició d’exploits acostuma a ser curta.
Mitigació
La resposta és directa: actualitzar a Firefox 149. Si depens de la branca de suport estès, Mozilla va publicar pegats per a un subconjunt d’aquests problemes a Firefox ESR 140.9 i ESR 115.34, a més de Thunderbird 149 i Thunderbird ESR 140.9. A la majoria de distribucions Linux l’actualització arriba pel gestor de paquets; comprova que el teu repositori ja serveix la 149 (o l’ESR corresponent) i reinicia el navegador perquè carregui la versió pegada. Firefox sol aplicar l’actualització en segon pla, però el binari nou no entra en ús fins que tanques i tornes a obrir.