Mozilla产品多重漏洞可能导致任意代码执行
MS-ISAC 公告编号:2025-045
发布日期:2025年4月29日
概述
在Mozilla产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。
- Mozilla Firefox:用于访问互联网的网页浏览器
- Mozilla Firefox ESR:面向大型组织部署的浏览器版本
- Mozilla Thunderbird:电子邮件客户端
- Mozilla Thunderbird ESR:面向大型组织部署的邮件客户端版本
成功利用最严重的漏洞可能允许任意代码执行。根据用户的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。系统权限配置较低的用户可能比具有管理权限的用户受到的影响更小。
威胁情报
目前尚未发现这些漏洞在野被利用的报告。
受影响系统
- Firefox 138之前版本
- Thunderbird ESR 128.10之前版本
- Thunderbird 138之前版本
- Firefox ESR 115.23之前版本
- Firefox ESR 128.10之前版本
风险等级
政府机构:
- 大中型政府实体:高
- 小型政府实体:中
企业:
- 大中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术摘要
在Mozilla产品中发现多个漏洞,其中最严重的可能允许任意代码执行。具体漏洞详情如下:
战术:初始访问(TA0001)
技术:路过式下载(T1189)
- Firefox更新程序中的权限提升(CVE-2025-2817)
- macOS版Firefox中WebGL着色器属性内存损坏(CVE-2025-4082)
- 使用"javascript"绕过进程隔离(CVE-2025-4083)
- Firefox 138和Thunderbird 138中修复的内存安全错误(CVE-2025-4092)
- Firefox ESR 128.10和Thunderbird 128.10中修复的内存安全错误(CVE-2025-4093)
其他较低严重性漏洞包括:
- UITour组件中潜在信息泄露和权限提升(CVE-2025-4085)
- 特殊构造文件名可能用于隐藏下载类型(CVE-2025-4086)
- XPath解析期间的不安全属性访问(CVE-2025-4087)
- 通过存储访问API重定向的跨站请求伪造(CVE-2025-4088)
- “copy as cURL"命令中潜在的本地代码执行(CVE-2025-4089, CVE-2025-4084)
- Android版Firefox中的库路径泄露(CVE-2025-4090)
- Firefox 138、Thunderbird 138、Firefox ESR 128.10和Thunderbird 128.10中修复的内存安全错误(CVE-2025-4091)
修复建议
建议采取以下措施:
1. 软件更新管理
- 经过适当测试后立即为易受攻击的系统应用Mozilla提供的更新(M1051:更新软件)
- 保障措施7.1:建立和维护漏洞管理流程
- 保障措施7.4:执行自动化应用程序补丁管理
- 保障措施7.7:修复检测到的漏洞
- 保障措施9.1:确保仅使用完全支持的浏览器和电子邮件客户端
2. 权限管理
- 对所有系统和服务应用最小权限原则
- 以非特权用户身份运行所有软件(M1026:特权账户管理)
- 保障措施4.7:管理企业资产和软件上的默认账户
- 保障措施5.4:将管理员权限限制为专用管理员账户
3. 漏洞利用防护
- 使用功能检测和阻止可能导致或指示软件利用发生的条件(M1050:漏洞利用防护)
- 保障措施10.5:启用反利用功能
4. 网络内容限制
- 限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等(M1021:限制基于Web的内容)
- 保障措施9.2:使用DNS过滤服务
- 保障措施9.3:维护和执行基于网络的URL过滤器
- 保障措施9.6:阻止不必要的文件类型
5. 执行防护
- 通过应用程序控制和/或脚本阻止来阻止在系统上执行代码(M1038:执行防护)
- 保障措施2.5:允许列表授权软件
- 保障措施2.6:允许列表授权库
- 保障措施2.7:允许列表授权脚本
6. 端点行为防护
- 使用功能防止在端点系统上发生可疑行为模式(M1040:端点行为防护)
- 保障措施13.2:部署基于主机的入侵检测解决方案
- 保障措施13.7:部署基于主机的入侵防护解决方案
7. 用户培训
- 告知和教育用户有关电子邮件或附件中超链接带来的威胁(M1017:用户培训)
- 保障措施14.1:建立和维护安全意识计划
- 保障措施14.2:培训员工识别社会工程攻击
参考链接
CVE参考:
Mozilla安全公告: