Mozilla产品多重漏洞可能导致任意代码执行

本文详细分析了Mozilla产品中发现的多个安全漏洞,包括内存损坏、释放后使用等关键技术细节,并提供了完整的缓解措施和修复建议,帮助企业有效防范潜在攻击。

Mozilla产品多重漏洞可能导致任意代码执行

MS-ISAC 公告编号:2025-024
发布日期:2025年3月11日

概述

在Mozilla产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。

  • Mozilla Firefox:用于访问互联网的网页浏览器
  • Mozilla Firefox ESR:面向大型组织部署的浏览器版本
  • Mozilla Thunderbird:电子邮件客户端
  • Mozilla Thunderbird ESR:面向大型组织部署的邮件客户端版本

成功利用最严重的漏洞可能允许任意代码执行。根据用户的权限级别,攻击者可以安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。配置较低权限的用户账户受到的影响可能小于具有管理权限的用户。

威胁情报

目前没有这些漏洞在野被利用的报告。

受影响系统

  • Thunderbird ESR 128.8之前版本
  • Thunderbird 136之前版本
  • Firefox ESR 128.8之前版本
  • Firefox ESR 115.21之前版本
  • Firefox 136之前版本

风险等级

政府机构:

  • 大中型政府实体:高
  • 小型政府实体:中

企业:

  • 大中型企业实体:高
  • 小型企业实体:中

家庭用户:低

技术摘要

在Mozilla产品中发现多个漏洞,其中最严重的可能允许任意代码执行。具体漏洞详情如下:

战术:初始访问(TA0001)
技术:路过式下载(T1189)

  • SkRegion的RunArray增长时发生溢出(CVE-2024-43097)
  • AudioIPC StreamData可能在浏览器进程中触发释放后使用(CVE-2025-1930)
  • WebTransportChild中的释放后使用(CVE-2025-1931)
  • XSLT排序中的比较器不一致导致越界访问(CVE-2025-1932)
  • 64位CPU上WASM i32返回值的JIT损坏(CVE-2025-1933)
  • Firefox 136、Thunderbird 136、Firefox ESR 115.21、Firefox ESR 128.8和Thunderbird 128.8中修复的内存安全错误(CVE-2025-1937)
  • Firefox 136、Thunderbird 136、Firefox ESR 128.8和Thunderbird 128.8中修复的内存安全错误(CVE-2025-1938)
  • Firefox 136和Thunderbird 136中修复的内存安全错误(CVE-2025-1943)
  • 使用过渡动画的Android自定义标签中的点击劫持(CVE-2025-1939)

其他较低严重性漏洞包括:

  • 精心构造的电子邮件消息错误显示为已加密(CVE-2025-26696)
  • 从WKD下载OpenPGP密钥时使用了错误的填充(CVE-2025-26695)
  • RegExp退出处理期间的意外GC(CVE-2025-1934)
  • 点击劫持registerProtocolHandler信息栏(CVE-2025-1935)
  • 向jar添加%00和伪造扩展名(CVE-2025-1936)
  • .toUpperCase()导致字符串变长时未初始化内存泄露(CVE-2025-1942)
  • 使用选择选项的Android Intent确认提示点击劫持(CVE-2025-1940)
  • 蓝牙范围内的Passkey钓鱼(CVE-2024-9956)
  • Android版Firefox Focus中的锁屏设置绕过(CVE-2025-1941)

建议措施

建议采取以下行动:

1. 软件更新

  • 经过适当测试后立即为易受攻击的系统应用Mozilla提供的更新(M1051:更新软件)
  • 保障措施7.1:建立和维护企业资产的漏洞管理流程
  • 保障措施7.4:每月或更频繁地通过自动补丁管理执行应用程序更新
  • 保障措施7.7:每月或更频繁地根据修复流程修复检测到的漏洞
  • 保障措施9.1:确保企业只允许使用完全支持的浏览器和邮件客户端

2. 权限管理

  • 对所有系统和服务应用最小权限原则
  • 以非特权用户身份运行所有软件(M1026:特权账户管理)
  • 保障措施4.7:管理企业资产和软件上的默认账户
  • 保障措施5.4:将管理员权限限制在专用管理员账户

3. 漏洞利用防护

  • 使用功能检测和阻止可能导致或指示软件利用发生的条件(M1050:利用保护)
  • 保障措施10.5:在企业资产和软件上启用反利用功能

4. 网络内容限制

  • 限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等(M1021:限制基于网络的内容)
  • 保障措施9.2:在所有企业资产上使用DNS过滤服务
  • 保障措施9.3:维护和执行基于网络的URL过滤器
  • 保障措施9.6:阻止不必要的文件类型进入企业电子邮件网关

5. 执行预防

  • 通过应用程序控制和/或脚本阻止阻止在系统上执行代码(M1038:执行预防)
  • 保障措施2.5:允许列表授权软件
  • 保障措施2.6:允许列表授权库
  • 保障措施2.7:允许列表授权脚本

6. 端点行为预防

  • 使用功能防止在端点系统上出现可疑行为模式(M1040:端点行为预防)
  • 保障措施13.2:部署基于主机的入侵检测解决方案
  • 保障措施13.7:部署基于主机的入侵防御解决方案

7. 用户培训

  • 告知和教育用户有关电子邮件或附件中超链接带来的威胁(M1017:用户培训)
  • 保障措施14.1:建立和维护安全意识计划
  • 保障措施14.2:培训员工识别社会工程攻击

参考链接

CVE参考:

Mozilla安全公告:

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次