Mozilla va llançar Firefox 151 el 19 de maig de 2026 amb l’avís MFSA 2026-46, que aplega 27 vulnerabilitats. El bloc més seriós combina una fuga del sandbox a la versió Android del navegador amb un use-after-free a la capa que connecta JavaScript amb el DOM, i un error que trenca la política de mateix origen. Uns quants d’aquests errors són de severitat alta i alguns poden acabar en execució de codi arbitrari.
Què s’ha corregit
L’error que més crida l’atenció és CVE-2026-8945, una fuga del sandbox a Firefox i Firefox Focus per a Android. El sandbox és la barrera que aïlla el contingut d’una web de la resta del dispositiu; quan es trenca, una pàgina maliciosa pot sortir d’aquest recinte i tocar parts del sistema que no hauria de tocar. El van reportar Daisuke Hatakeyama i Shota Matsuda.
CVE-2026-8947 és un use-after-free al component DOM Bindings (WebIDL), la peça que exposa les API del navegador a JavaScript. Un use-after-free passa quan el codi continua fent servir un objecte de memòria que ja s’ha alliberat, i sol ser explotable per corrompre memòria i, en el pitjor cas, executar codi. El va descobrir Satoki Tsuji.
El tercer error destacat, CVE-2026-8948, és un bypass de la política de same-origin al component de xarxa del DOM. Aquesta política impedeix que un lloc llegeixi dades d’un altre; saltar-se-la obre la porta a robar informació entre pestanyes o dominis. El va reportar satyamasd.
L’avís inclou també diversos errors de seguretat de memòria agrupats (CVE-2026-8973, CVE-2026-8974, CVE-2026-8975) que Mozilla, amb la seva classificació habitual, considera que alguns podrien portar a execució de codi arbitrari. La resta del lot toca components com els còdecs d’àudio i vídeo, la xarxa, els widgets i les extensions, amb severitats moderades i baixes.
A qui afecta i com protegir-se
Qualsevol instal·lació anterior a Firefox 151 està exposada. El pegat d’Android (CVE-2026-8945) és rellevant sobretot per a qui faci servir Firefox o Firefox Focus al mòbil. A l’escriptori (Linux, Windows, macOS), el pes el porten el use-after-free del DOM i el bypass de same-origin, explotables només visitant una pàgina preparada.
Les versions que corregeixen aquests errors són:
- Firefox 151
- Firefox ESR 140.11
- Firefox ESR 115.36
Si fas servir una branca ESR en un entorn corporatiu, salta a 140.11 o 115.36 segons el teu canal. A les distribucions Linux el paquet sol arribar pel repositori oficial poc després; a Debian i Ubuntu comprova que el teu firefox-esr o firefox estigui a la versió amb el pegat. Mozilla activa les actualitzacions automàtiques per defecte, però val la pena forçar la comprovació des del menú d’ajuda i reiniciar el navegador perquè el canvi faci efecte.
No hi ha constància pública d’explotació activa en el moment de l’avís, però els errors de memòria als navegadors tenen un historial llarg d’acabar en exploits reals, així que no convé endarrerir l’actualització.