Mozilla产品多个漏洞可导致任意代码执行

Mozilla Firefox、Thunderbird等产品存在多个高危漏洞,包括内存损坏、UAF等类型,成功利用可导致任意代码执行。本文详细分析漏洞技术细节及影响范围,并提供修复建议。

Mozilla产品多个漏洞可导致任意代码执行

MS-ISAC 公告编号:2025-024
发布日期:2025年3月11日

概述

在Mozilla产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。

  • Mozilla Firefox:用于访问互联网的网页浏览器
  • Mozilla Firefox ESR:专为大型组织部署的浏览器版本
  • Mozilla Thunderbird:电子邮件客户端
  • Mozilla Thunderbird ESR:专为大型组织部署的邮件客户端版本

成功利用最严重的漏洞可能允许任意代码执行。根据用户的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。配置为具有较少用户权限的用户帐户可能比使用管理用户权限操作的用户受影响较小。

威胁情报

目前尚未发现这些漏洞在野被利用的报告。

受影响系统

  • Thunderbird ESR 128.8之前版本
  • Thunderbird 136之前版本
  • Firefox ESR 128.8之前版本
  • Firefox ESR 115.21之前版本
  • Firefox 136之前版本

风险等级

  • 政府机构:大型和中型政府实体 - 高风险;小型政府 - 中等风险
  • 企业:大型和中型企业实体 - 高风险;小型企业实体 - 中等风险
  • 家庭用户:低风险

技术细节

在Mozilla产品中发现多个漏洞,其中最严重的可能允许任意代码执行。这些漏洞的详细信息如下:

战术:初始访问(TA0001)
技术:路过式下载(T1189)

高危漏洞

  1. CVE-2024-43097:增长SkRegion的RunArray时发生溢出
  2. CVE-2025-1930:AudioIPC StreamData可能在浏览器进程中触发释放后使用
  3. CVE-2025-1931:WebTransportChild中的释放后使用
  4. CVE-2025-1932:XSLT排序中的不一致比较器导致越界访问
  5. CVE-2025-1933:64位CPU上WASM i32返回值的JIT损坏
  6. CVE-2025-1937:在Firefox 136、Thunderbird 136、Firefox ESR 115.21、Firefox ESR 128.8和Thunderbird 128.8中修复的内存安全错误
  7. CVE-2025-1938:在Firefox 136、Thunderbird 136、Firefox ESR 128.8和Thunderbird 128.8中修复的内存安全错误
  8. CVE-2025-1943:在Firefox 136和Thunderbird 136中修复的内存安全错误
  9. CVE-2025-1939:使用过渡动画的Android自定义选项卡中的点击劫持

其他较低严重性漏洞

  • CVE-2025-26696:精心构造的电子邮件消息错误显示为已加密
  • CVE-2025-26695:从WKD下载OpenPGP密钥使用了不正确的填充
  • CVE-2025-1934:RegExp退出处理期间发生意外GC
  • CVE-2025-1935:点击劫持registerProtocolHandler信息栏
  • CVE-2025-1936:向jar添加%00和虚假扩展名
  • CVE-2025-1942:.toUpperCase()导致字符串变长时未初始化内存泄露
  • CVE-2025-1940:使用选择选项的Android Intent确认提示点击劫持
  • CVE-2024-9956:蓝牙范围内的通行密钥钓鱼
  • CVE-2025-1941:Firefox Focus for Android中的锁屏设置绕过

成功利用最严重的漏洞可能允许任意代码执行。根据用户的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

修复建议

建议采取以下措施:

1. 应用更新(M1051:更新软件)

  • 在适当测试后立即应用Mozilla提供的适当更新到易受攻击的系统
  • 保障措施7.1:建立和维护漏洞管理流程
  • 保障措施7.4:执行自动化应用程序补丁管理
  • 保障措施7.7:修复检测到的漏洞
  • 保障措施9.1:确保仅使用完全支持的浏览器和电子邮件客户端

2. 应用最小权限原则

  • 将所有系统和服务的权限限制为最小必要权限
  • 以非特权用户身份运行所有软件(M1026:特权帐户管理)
  • 保障措施4.7:管理企业资产和软件上的默认帐户
  • 保障措施5.4:将管理员权限限制为专用管理员帐户

3. 启用利用防护功能(M1050:利用防护)

  • 使用功能检测和阻止可能导致或指示软件利用发生的条件
  • 保障措施10.5:启用反利用功能

4. 限制基于Web的内容(M1021:限制基于Web的内容)

  • 限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等
  • 保障措施9.2:使用DNS过滤服务
  • 保障措施9.3:维护和执行基于网络的URL过滤器
  • 保障措施9.6:阻止不必要的文件类型

5. 阻止代码执行(M1038:执行阻止)

  • 通过应用程序控制和/或脚本阻止在系统上执行代码
  • 保障措施2.5:允许列表授权软件
  • 保障措施2.6:允许列表授权库
  • 保障措施2.7:允许列表授权脚本

6. 端点行为预防(M1040:端点行为预防)

  • 使用功能防止在端点系统上出现可疑行为模式
  • 保障措施13.2:部署基于主机的入侵检测解决方案
  • 保障措施13.7:部署基于主机的入侵防御解决方案

7. 用户培训(M1017:用户培训)

  • 告知和教育用户有关电子邮件或附件中超链接带来的威胁
  • 提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接
  • 保障措施14.1:建立和维护安全意识计划
  • 保障措施14.2:培训员工识别社会工程攻击

参考链接

CVE参考

Mozilla安全公告

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次