Mozilla产品中的多个漏洞可能导致任意代码执行

MS-ISAC 公告编号： 2025-106 发布日期： 2025年11月11日

概述： Mozilla产品中发现了多个漏洞，其中最严重的漏洞可能导致任意代码执行。 Mozilla Firefox 是一款用于访问互联网的网络浏览器。 Mozilla Firefox ESR 是该网络浏览器的版本，旨在大型组织中部署。成功利用其中最严重的漏洞可能导致任意代码执行。根据与用户关联的权限，攻击者随后可以安装程序；查看、更改或删除数据；或创建具有完整用户权限的新帐户。在系统上配置了较少用户权限的帐户的用户可能比使用管理用户权限操作的用户受到的影响小。

威胁情报： 目前没有这些漏洞在野外被利用的报告。

受影响的系统： Firefox 145 之前的版本 Firefox ESR 115.30 之前的版本 Firefox ESR 140.5 之前的版本

风险等级： 政府：大型和中型政府实体 - 高小型政府实体 - 中

企业：大型和中型企业实体 - 高小型企业实体 - 中

家庭用户：低

技术摘要： 在 Mozilla 产品中发现了多个漏洞，其中最严重的漏洞可能导致任意代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001）：技术：路过式下载（T1189）

图形组件中的边界条件不正确。（CVE-2025-13021）
图形组件中的边界条件不正确。（CVE-2025-13022）
图形组件中的竞争条件。（CVE-2025-13012）
由于图形组件中的边界条件不正确导致的沙箱逃逸。（CVE-2025-13023）
JavaScript 引擎中的边界条件不正确。（CVE-2025-13016）
JavaScript 引擎中的 JIT 错误编译。（CVE-2025-13024）
图形组件中的边界条件不正确。（CVE-2025-13025）
由于图形组件中的边界条件不正确导致的沙箱逃逸。（CVE-2025-13026）
Firefox 145 和 Thunderbird 145 中修复的内存安全漏洞。（CVE-2025-13027）

其他较低严重性的漏洞包括：

DOM 中的同源策略绕过。（CVE-2025-13017， CVE-2025-13019）
DOM 中的缓解措施绕过。（CVE-2025-13018， CVE-2025-13013）
WebRTC 中的释放后使用漏洞。（CVE-2025-13020）
音频/视频组件中的释放后使用漏洞。（CVE-2025-13014）
Firefox 中的欺骗问题。（CVE-2025-13015）

成功利用其中最严重的漏洞可能导致任意代码执行。根据与用户关联的权限，攻击者随后可以安装程序；查看、更改或删除数据；或创建具有完整用户权限的新帐户。在系统上配置了较少用户权限的帐户的用户可能比使用管理用户权限操作的用户受到的影响小。

建议： 我们建议采取以下行动：

在适当的测试后，立即应用 Mozilla 为受影响的系统提供的相应更新。（M1051：更新软件）
- 保障措施 7.1：建立并维护漏洞管理流程：为企业资产建立并维护有记录的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。
- 保障措施 7.4：执行自动化应用程序补丁管理：每月或更频繁地通过自动化补丁管理在企业资产上执行应用程序更新。
- 保障措施 7.7：修复检测到的漏洞：每月或更频繁地，基于修复流程，通过流程和工具修复软件中检测到的漏洞。
- 保障措施 9.1：确保仅使用完全支持的浏览器和电子邮件客户端：确保在企业中仅允许执行完全支持的浏览器和电子邮件客户端，仅使用供应商提供的最新版本。
对所有系统和服务应用最小权限原则。以非特权用户（无管理权限的用户）身份运行所有软件，以减少成功攻击的影响。（M1026：特权帐户管理）
- 保障措施 4.7：管理企业资产和软件上的默认帐户：管理企业资产和软件上的默认帐户，例如 root、administrator 和其他预配置的供应商帐户。示例实现包括：禁用默认帐户或使其不可用。
- 保障措施 5.4：将管理员权限限制在专用管理员帐户：将管理员权限限制在企业资产的专用管理员帐户上。从用户的主要非特权帐户执行一般计算活动，例如互联网浏览、电子邮件和办公套件使用。
使用功能来检测和阻止可能导致或表明软件漏洞利用发生的条件。（M1050：漏洞利用防护）
- 保障措施 10.5：启用防漏洞利用功能：在可能的情况下，在企业资产和软件上启用防漏洞利用功能，例如 Microsoft® 数据执行保护（DEP）、Windows® Defender Exploit Guard（WDEG）或 Apple® 系统完整性保护（SIP）和 Gatekeeper™。
限制某些网站的使用，阻止下载/附件，阻止 JavaScript，限制浏览器扩展等。（M1021：限制基于 Web 的内容）
- 保障措施 9.2：使用 DNS 过滤服务：在所有企业资产上使用 DNS 过滤服务以阻止访问已知的恶意域名。
- 保障措施 9.3：维护并强制执行基于网络的 URL 过滤器：强制执行并更新基于网络的 URL 过滤器，以限制企业资产连接到潜在的恶意或未经批准的网站。示例实现包括基于类别的过滤、基于信誉的过滤或使用阻止列表。对所有企业资产强制执行过滤器。
- 保障措施 9.6：阻止不必要的文件类型：阻止不必要的文件类型尝试进入企业的电子邮件网关。
通过应用程序控制和/或脚本阻止来阻止在系统上执行代码。（M1038：执行阻止）
- 保障措施 2.5：授权软件允许列表：使用技术控制，例如应用程序允许列表，以确保只有授权的软件可以执行或被访问。每半年或更频繁地重新评估。
- 保障措施 2.6：授权库允许列表：使用技术控制确保只有授权的软件库，例如特定的 .dll、.ocx、.so 等文件，可以加载到系统进程中。阻止未经授权的库加载到系统进程中。每半年或更频繁地重新评估。
- 保障措施 2.7：授权脚本允许列表：使用技术控制，例如数字签名和版本控制，以确保只有授权的脚本，例如特定的 .ps1、.py 等文件，可以执行。阻止未经授权的脚本执行。每半年或更频繁地重新评估。
使用功能来防止在终端系统上发生可疑的行为模式。这可能包括可疑的进程、文件、API 调用等行为。（M1040：终端行为预防）
- 保障措施 13.2：部署基于主机的入侵检测解决方案：在适当和/或支持的情况下，在企业资产上部署基于主机的入侵检测解决方案。
- 保障措施 13.7：部署基于主机的入侵防御解决方案：在适当和/或支持的情况下，在企业资产上部署基于主机的入侵防御解决方案。示例实现包括使用端点检测和响应（EDR）客户端或基于主机的 IPS 代理。
告知并教育用户有关电子邮件或附件中包含的超链接（尤其是来自不可信来源的链接）所带来的威胁。提醒用户不要访问不可信的网站或点击来自未知或不可信来源提供的链接。（M1017：用户培训）
- 保障措施 14.1：建立并维护安全意识计划：建立并维护安全意识计划。安全意识计划的目的是教育企业的员工如何以安全的方式与企业的资产和数据交互。在雇佣时进行培训，并至少每年进行一次。每年或在发生可能影响此保障措施的重大企业变更时审查和更新内容。
- 保障措施 14.2：培训员工识别社交工程攻击：培训员工识别社交工程攻击，例如网络钓鱼、 pretexting 和尾随。

Mozilla： https://www.mozilla.org/en-US/security/advisories/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-88/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-89/