安全建议 NCSC-2025-0325
基本信息
- 公告编号: NCSC-2025-0325 [1.0.0]
- 发布日期: 2025年10月20日 14:59(欧洲/阿姆斯特丹)
- 优先级: 正常
- 涉及产品: Mozilla Firefox 和 Thunderbird 中的漏洞修复
漏洞特征
- 网页生成过程中的输入验证不当(跨站脚本)
- 命令参数分隔符处理不当(参数注入)
- 输出编码或转义不当
- 内存缓冲区操作限制不当
- 越界读取
- 敏感信息暴露给未授权方
- CWE-275 访问控制不当
- 资源关闭或释放不当
- 释放后使用
- 解释冲突
- 关键信息的用户界面误示
- 敏感系统信息暴露给未授权控制域
- 敏感数据存储在未正确锁定的内存中
- 越界写入
- 渲染UI层或帧限制不当
漏洞描述
Mozilla已修复Firefox和Thunderbird(特别是144以下版本)中的漏洞。这些漏洞包括多种问题,如释放后使用问题、内存安全错误,以及恶意攻击者可能访问敏感数据或执行任意代码的风险。这些漏洞可通过操纵的Web进程、不安全的IPC消息和其他危及应用程序完整性的方法进行利用。风险尤为显著,特别是对Windows和Android用户,已发现特定漏洞可能导致未授权访问和系统被入侵。
解决方案
Mozilla已发布更新以修复这些漏洞。更多信息请参阅附带的参考资料。
参考资料
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-82/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-83/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-85/
CVE编号
- CVE-2025-11708 - CVSS (v4) 5.3
- CVE-2025-11709 - CVSS (v4) 5.3
- CVE-2025-11710 - CVSS (v4) 5.3
- CVE-2025-11711 - CVSS (v4) 2.3
- CVE-2025-11712 - CVSS (v4) 5.3
- CVE-2025-11713 - CVSS (v3) 8.1
- CVE-2025-11714 - CVSS (v3) 8.8
- CVE-2025-11715 - CVSS (v3) 8.8
- CVE-2025-11716 - CVSS (v4) 5.3
- CVE-2025-11717 - CVSS (v4) 4.8
- CVE-2025-11718 - CVSS (v4) 5.3
- CVE-2025-11719 - CVSS (v4) 5.3
- CVE-2025-11720 - CVSS (v4) 5.3
- CVE-2025-11721 - CVSS (v3) 9.8
受影响产品
- Mozilla
- Firefox
- Firefox ESR
- Thunderbird
- Thunderbird ESR
免责声明
荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全建议的访问。使用此安全建议需遵守以下条款和条件:
NCSC-NL尽一切合理努力确保此页面内容保持最新、准确和完整。然而,NCSC-NL不能完全排除错误的可能性,因此不能就其完整性、准确性或持续更新提供任何保证。此安全建议中包含的信息仅旨在为专业用户提供一般信息。不得从所提供的信息中衍生出任何权利。
NCSC-NL和荷兰王国对因使用或无法使用此安全建议而导致的任何损害不承担任何法律责任或义务。这包括因建议中信息不准确或不完整而导致的损害。
此安全建议受荷兰法律管辖。与使用此建议相关或由此产生的所有争议将提交给海牙有管辖权的法院。此选择方式也适用于简易程序法院。