Mozilla产品多重漏洞可能导致任意代码执行

MS-ISAC 公告编号： 2025-085
发布日期： 2025年9月16日

概述

在Mozilla产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。

• Mozilla Firefox：用于访问互联网的网络浏览器
• Mozilla Firefox ESR：面向大型组织部署的浏览器版本
• Mozilla Focus for iOS：自动阻止在线追踪器和大多数广告的私有移动浏览器
• Mozilla Thunderbird：电子邮件客户端
• Mozilla Thunderbird ESR：面向大型组织部署的电子邮件客户端版本

成功利用最严重的这些漏洞可能允许任意代码执行。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。在系统上配置较少用户权限的用户帐户受到的影响可能小于使用管理用户权限操作的用户。

威胁情报

目前没有这些漏洞在野外被利用的报告。

受影响系统

• Thunderbird 140.3之前版本
• Thunderbird 143之前版本
• Focus for iOS 143.0之前版本
• Firefox ESR 140.3之前版本
• Firefox ESR 115.28之前版本
• Firefox 143之前版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户： 低

技术详情

在Mozilla产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001） 技术：路过式下载（T1189）

• 图形组件中的释放后使用导致的沙箱逃逸（CVE-2025-10527）
• 图形组件中的未定义行为、无效指针导致的沙箱逃逸（CVE-2025-10528）
• 内存安全错误。其中一些错误显示存在内存损坏的证据，Mozilla推测通过足够努力，其中一些可能被利用来运行任意代码（CVE-2025-10537）

其他较低严重性漏洞包括：

• 布局组件中的同源策略绕过（CVE-2025-10529）
• JavaScript中的不正确边界条件（CVE-2025-10532）
• SVG组件中的整数溢出（CVE-2025-10533）
• 网络组件中的信息泄露（CVE-2025-10536）
• Android版Firefox中WebAuthn组件中的欺骗问题（CVE-2025-10530）
• Web兼容性中的缓解措施绕过（CVE-2025-10531）
• 站点权限组件中的欺骗问题（CVE-2025-10534）
• Focus for iOS中通过上下文菜单打开链接不会正确更新工具栏UI，允许攻击者欺骗网站（CVE-2025-10290）
• Android版Firefox中隐私组件中的信息泄露、缓解措施绕过（CVE-2025-10535）

成功利用最严重的这些漏洞可能允许任意代码执行。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。在系统上配置较少用户权限的用户帐户受到的影响可能小于使用管理用户权限操作的用户。

修复建议

我们建议采取以下措施：

1. 应用适当更新

   • 经过适当测试后，立即将Mozilla提供的适当更新应用到易受攻击的系统（M1051：更新软件）
   • 保护措施7.1：建立和维护漏洞管理流程
   • 保护措施7.4：执行自动化应用程序补丁管理
   • 保护措施7.7：修复检测到的漏洞
   • 保护措施9.1：确保仅使用完全支持的浏览器和电子邮件客户端

2. 应用最小权限原则

   • 对所有系统和服务应用最小权限原则。以非特权用户（没有管理权限的用户）身份运行所有软件，以减轻成功攻击的影响（M1026：特权帐户管理）
   • 保护措施4.7：管理企业资产和软件上的默认帐户
   • 保护措施5.4：将管理员权限限制为专用管理员帐户

3. 启用利用保护功能

   • 使用功能检测和阻止可能导致或指示软件利用发生的条件（M1050：利用保护）
   • 保护措施10.5：启用反利用功能

4. 限制基于Web的内容

   • 限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于Web的内容）
   • 保护措施9.2：使用DNS过滤服务
   • 保护措施9.3：维护和执行基于网络的URL过滤器
   • 保护措施9.6：阻止不必要的文件类型

5. 执行预防

   • 通过应用程序控制和/或脚本阻止在系统上阻止代码执行（M1038：执行预防）
   • 保护措施2.5：允许列表授权软件
   • 保护措施2.6：允许列表授权库
   • 保护措施2.7：允许列表授权脚本

6. 端点行为预防

   • 使用功能防止在端点系统上发生可疑行为模式。这可能包括可疑的进程、文件、API调用等行为（M1040：端点行为预防）
   • 保护措施13.2：部署基于主机的入侵检测解决方案
   • 保护措施13.7：部署基于主机的入侵防御解决方案

7. 用户培训

   • 告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁，特别是来自不受信任来源的链接。提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接（M1017：用户培训）
   • 保护措施14.1：建立和维护安全意识计划
   • 保护措施14.2：培训员工识别社会工程攻击

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10290
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10527
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10528
• （其他CVE链接）

Mozilla：

• https://www.mozilla.org/en-US/security/advisories/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-73/
• （其他Mozilla安全公告链接）