Firefox corrige falhas críticas de segurança

A Mozilla distribuiu o Firefox 145, corrigindo uma série de vulnerabilidades de alta gravidade que poderiam ser exploradas por atacantes para executar código arbitrário nos sistemas dos usuários. O lançamento, anunciado em 11 de novembro de 2025, pede atualização imediata devido ao risco de exploração, principalmente por malware sofisticado.

Principais vulnerabilidades e áreas afetadas

O update aborda 15 CVEs, incluindo oito de alto impacto, quatro de impacto moderado e um de baixo impacto. Destaque para o CVE-2025-13027, uma coleção de bugs de segurança de memória identificados pela equipe de Fuzzing da Mozilla nas versões Firefox 144 e Thunderbird 144. Falhas de corrupção de memória como essas podem ser aproveitadas para executar código remoto e comprometer dispositivos inteiros, superando as barreiras do sandbox do navegador.

Muitos dos problemas decorrem de buffer overflows e gerenciamento inadequado de memória, frequentemente explorados por malwares avançados.

Gráficos, WebGPU e JavaScript sob ataque

Os componentes de gráficos e WebGPU foram os mais afetados. CVE-2025-13021, CVE-2025-13022 e CVE-2025-13025 apontam condições de limites incorretos no processamento do WebGPU, possibilitando leitura ou escrita fora dos limites e, consequentemente, execução de código malicioso.

Falhas como CVE-2025-13023 e CVE-2025-13026 permitem que código restrito escape do sandbox e acesse recursos sensíveis do sistema. Bugs em WebAssembly (CVE-2025-13016) e erros de compilação JIT (CVE-2025-13024) elevam o risco de execução otimizada de código malicioso.

Uma condição de disputa (race condition) no componente de gráficos (CVE-2025-13012) cria oportunidades para ataques baseados em temporização.

Questões moderadas e menores abordadas

Incluem bypass de política same-origin em componentes DOM, mitigação de segurança e parsing de HTML, além de erros no WebRTC e problemas de spoofing de interface.

Recomendações e próximos passos

A Mozilla destaca que até o momento não há sinais de exploração ativa das vulnerabilidades, mas reforça o potencial crítico de execução de código arbitrário. Usuários com versões antigas permanecem expostos a ataques via downloads maliciosos ou sites de phishing.

A recomendação é atualizar para o Firefox 145 o quanto antes, habilitar atualizações automáticas e, para empresas, escanear instâncias vulneráveis além de revisar o uso de WebGPU em aplicações personalizadas. O Thunderbird 145 também foi atualizado para tratar os mesmos problemas de memória.