Firefox

No dia 11 de novembro de 2025, a Mozilla lançou a versão 145 do Firefox para corrigir múltiplas vulnerabilidades de segurança que poderiam permitir a execução de código arbitrário nos sistemas dos usuários. A atualização aborda 16 CVEs, sendo que oito delas foram classificadas como de alta severidade. A falha mais crítica, CVE-2025-13027, é um conjunto de bugs de segurança de memória identificados pela equipe de Fuzzing da Mozilla. Esses problemas podem ser explorados por atacantes para executar código remotamente, potencialmente contornando as proteções do navegador e comprometendo dispositivos inteiros.

A Mozilla anunciou novas exigências de transparência para a coleta de dados por extensões do Firefox, que entrarão em vigor em 3 de novembro de 2025. Todas as extensões recém-submetidas deverão declarar se coletam ou transmitem dados pessoais diretamente no arquivo de configuração manifest.json. Essa medida visa aumentar a conscientização dos usuários sobre como as extensões lidam com informações sensíveis. Os desenvolvedores deverão utilizar a chave browser_specific_settings.gecko.data_collection_permissions para especificar suas práticas de coleta de dados, sendo que extensões que não coletam dados devem declarar isso explicitamente. As informações sobre a coleta de dados serão exibidas durante o processo de instalação da extensão e também nas páginas de listagem no addons.mozilla.org e na seção Permissões e Dados da página about:addons do Firefox. Embora as novas regras se apliquem apenas a extensões novas, a Mozilla planeja expandir essas exigências para todas as extensões até o primeiro semestre de 2026. Essa iniciativa reflete o compromisso da Mozilla com a proteção da privacidade dos usuários e a necessidade de um design de navegador centrado na privacidade.

A Mozilla lançou a versão 142 do Firefox, que corrige nove vulnerabilidades de segurança, incluindo falhas de alta gravidade que podem permitir a execução remota de código. O aviso de segurança, divulgado em 19 de agosto de 2025, destaca problemas que vão desde corrupção de memória até bypass de políticas de mesma origem, que podem comprometer dados do usuário e a segurança do sistema.

A vulnerabilidade mais crítica, identificada como CVE-2025-9179, envolve uma falha de escape de sandbox no componente Audio/Video GMP (Gecko Media Plugin), permitindo que atacantes realizem corrupção de memória em um processo que lida com conteúdo de mídia criptografada. Outra falha significativa, CVE-2025-9180, permite o bypass da política de mesma origem no componente Graphics Canvas2D, o que pode facilitar ataques cross-site e acesso não autorizado a dados.