El 24 de febrer de 2026 la Fundació Mozilla va treure Firefox 148 acompanyat de l’avís de seguretat MFSA 2026-13, que tapa més de 40 vulnerabilitats. En total es van documentar 45 CVE diferents: 28 d’alt impacte, 13 d’impacte moderat i 4 de baix impacte. Amb tants errors i de tanta gravetat, és de les actualitzacions que val més aplicar sense esperar.
Què s’ha corregit
El més seriós són dos escapaments del sandbox de gràfics a WebRender, el motor de renderització de Firefox que tira de la GPU:
- CVE-2026-2760 i CVE-2026-2761: tots dos descrits com a escapaments del sandbox de WebRender per condicions de contorn incorrectes. Els va reportar l’investigador Oskar L. Un escapament de sandbox és greu perquè deixa que codi que hauria de quedar tancat en una zona aïllada del navegador toqui la resta del sistema.
Al motor JavaScript van caure dos errors de gestió de memòria:
- CVE-2026-2763: un use-after-free (ús de memòria després d’haver estat alliberada) al motor JavaScript.
- CVE-2026-2764: una miscompilació del JIT que acaba també en un use-after-free.
Tots dos els va detectar un equip de recerca format, entre d’altres, per Evyatar Ben Asher i Nicholas Carlini, que es van recolzar en Claude d’Anthropic durant l’anàlisi.
Mozilla va documentar a més diversos errors de seguretat de memòria (CVE-2026-2807, CVE-2026-2792 i CVE-2026-2793) amb evidències de corrupció de memòria. Avisa que, posant-hi prou esforç, algun d’aquests errors podria haver servit per executar codi arbitrari.
A qui afecta i quina gravetat té
L’actualització toca els usuaris de Firefox a totes les plataformes: Linux, Windows i macOS. Els errors de seguretat de memòria i els use-after-free són just la mena de vulnerabilitat que històricament s’ha encadenat per aconseguir execució remota de codi a través d’una pàgina web manipulada, tot i que MFSA 2026-13 no assenyala que cap d’ells s’estigués explotant de manera activa quan es va publicar.
Els 28 errors classificats com d’alt impacte ja són motiu per tractar aquesta actualització com a prioritària. En entorns corporatius i en distribucions Linux que empaqueten Firefox, el millor és aplicar les actualitzacions del repositori tan bon punt apareguin.
Mitigació
La mitigació és senzilla: actualitzar a Firefox 148 (o a la versió ESR corresponent que porti aquestes correccions). A gairebé totes les distribucions Linux et basta amb actualitzar el paquet firefox o firefox-esr des del gestor de paquets (apt, dnf, pacman, etc.) un cop els mantenidors publiquin la versió corregida. Si fas servir la compilació oficial de Mozilla, el navegador sol actualitzar-se sol; pots forçar la comprovació a Ajuda → Quant al Firefox.
Mantenir el navegador al dia és de les defenses més eficaces davant d’atacs que arriben pel web, perquè la majoria d’exploits aprofiten errors ja corregits en versions que l’usuari no s’ha molestat a instal·lar.
Font
- Avís oficial: Mozilla Foundation Security Advisory MFSA 2026-13
- Detall del CVE principal: CVE-2026-2763 a NVD