Mozilla产品多重漏洞可导致任意代码执行

MS-ISAC 公告编号：2025-035
发布日期：2025年4月3日

概述

在Mozilla产品中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。

• Mozilla Firefox：用于访问互联网的网页浏览器
• Mozilla Firefox ESR：专为大型组织部署的浏览器版本
• Mozilla Thunderbird：电子邮件客户端

成功利用最严重的这些漏洞可能允许任意代码执行。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。系统上用户权限较少的帐户用户可能比具有管理用户权限的用户受到影响较小。

威胁情报

目前没有这些漏洞在野外被利用的报告。

受影响系统

• Firefox 137之前版本
• Thunderbird ESR 128.9之前版本
• Thunderbird 137之前版本
• Firefox ESR 128.9之前版本
• Firefox ESR 115.22之前版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术详情

在Mozilla产品中发现多个漏洞，其中最严重的可能允许任意代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001） 技术：驱动式攻击（T1189）

• XSLTProcessor触发的释放后使用漏洞（CVE-2025-3028）
• Firefox 137、Thunderbird 137、Firefox ESR 128.9和Thunderbird 128.9中修复的内存安全错误（CVE-2025-3030）
• Firefox 137和Thunderbird 137中修复的内存安全错误（CVE-2025-3034）

其他较低严重性漏洞包括：

• 不同堆栈槽大小的JIT优化错误（CVE-2025-3031）
• 从fork服务器泄漏文件描述符（CVE-2025-3032）
• 通过非BMP Unicode字符进行URL栏欺骗（CVE-2025-3029）
• 使用AI聊天机器人时跨页面披露标签标题（CVE-2025-3035）
• 打开本地.url文件可能导致打开另一个文件（CVE-2025-3033）

成功利用最严重的这些漏洞可能允许任意代码执行。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

建议措施

我们建议采取以下行动：

1. 软件更新（M1051：更新软件）

• 在适当测试后立即为易受攻击的系统应用Mozilla提供的适当更新
• 保障措施7.1： 建立和维护企业资产的漏洞管理流程
• 保障措施7.4： 每月或更频繁地通过自动补丁管理执行应用程序更新
• 保障措施7.7： 每月或更频繁地根据修复流程修复检测到的漏洞
• 保障措施9.1： 确保企业只使用完全支持的浏览器和电子邮件客户端

2. 最小权限原则（M1026：特权账户管理）

• 对所有系统和服务应用最小权限原则
• 以非特权用户身份运行所有软件
• 保障措施4.7： 管理企业资产和软件上的默认账户
• 保障措施5.4： 将管理员权限限制为专用管理员账户

3. 漏洞利用防护（M1050：漏洞利用保护）

• 使用功能检测和阻止可能导致或指示软件漏洞利用的条件
• 保障措施10.5： 启用反漏洞利用功能，如DEP、WDEG、SIP和Gatekeeper

4. 网络内容限制（M1021：限制基于Web的内容）

• 限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等
• 保障措施9.2： 使用DNS过滤服务阻止已知恶意域
• 保障措施9.3： 维护和执行基于网络的URL过滤器
• 保障措施9.6： 阻止不必要的文件类型进入企业电子邮件网关

5. 执行预防（M1038：执行预防）

• 通过应用程序控制和/或脚本阻止阻止系统上的代码执行
• 保障措施2.5： 允许列表授权软件
• 保障措施2.6： 允许列表授权库
• 保障措施2.7： 允许列表授权脚本

6. 端点行为预防（M1040：端点行为预防）

• 使用功能防止端点系统上出现可疑行为模式
• 保障措施13.2： 部署基于主机的入侵检测解决方案
• 保障措施13.7： 部署基于主机的入侵防御解决方案

7. 用户培训（M1017：用户培训）

• 告知和教育用户有关电子邮件或附件中超文本链接带来的威胁
• 提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接
• 保障措施14.1： 建立和维护安全意识计划
• 保障措施14.2： 培训员工识别社会工程攻击

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3028
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3029
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3030
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3031
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3032
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3033
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3034
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3035

Mozilla安全公告：

• https://www.mozilla.org/en-US/security/advisories/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-20/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-24/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-23/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-21/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-22/