Mozilla Firefox多重漏洞可能导致任意代码执行

MS-ISAC 公告编号：2025-055
发布日期：2025年6月10日

概述

在Mozilla Firefox中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。Mozilla Firefox是用于访问互联网的网页浏览器。成功利用最严重的这些漏洞可能允许任意代码执行。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。在系统上配置为具有较少用户权限的用户帐户可能比使用管理用户权限操作的用户受到的影响小。

威胁情报

目前没有关于这些漏洞在野外被利用的报告。

受影响系统

Firefox 139.0.4之前版本

风险评级

政府机构：

• 大中型政府实体：高
• 小型政府实体：中

企业：

• 大中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术摘要

在Mozilla Firefox中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001）
技术：路过式攻击（T1189）

• 某些画布操作可能导致内存损坏（CVE-2025-49709）
• JavaScript引擎使用的OrderedHashTable中存在整数溢出（CVE-2025-49710）

成功利用最严重的这些漏洞可能允许任意代码执行。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

修复建议

建议采取以下措施：

软件更新

• 经过适当测试后立即将Mozilla提供的适当更新应用到易受攻击的系统（M1051：更新软件）
• 保障措施7.1：建立和维护漏洞管理流程
• 保障措施7.4：执行自动化应用程序补丁管理
• 保障措施7.7：修复检测到的漏洞
• 保障措施9.1：确保仅使用完全支持的浏览器和电子邮件客户端

权限管理

• 对所有系统和服务应用最小权限原则
• 以非特权用户身份运行所有软件（M1026：特权帐户管理）
• 保障措施4.7：管理企业资产和软件上的默认帐户
• 保障措施5.4：将管理员权限限制为专用管理员帐户

漏洞利用防护

• 使用功能检测和阻止可能导致或指示软件漏洞利用发生的条件（M1050：漏洞利用防护）
• 保障措施10.5：启用反漏洞利用功能

内容限制

• 限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于Web的内容）
• 保障措施9.2：使用DNS过滤服务
• 保障措施9.3：维护和执行基于网络的URL过滤器
• 保障措施9.6：阻止不必要的文件类型

执行防护

• 通过应用程序控制和/或脚本阻止阻止在系统上执行代码（M1038：执行防护）
• 保障措施2.5：允许列表授权软件
• 保障措施2.6：允许列表授权库
• 保障措施2.7：允许列表授权脚本

端点防护

• 使用功能防止在端点系统上发生可疑行为模式（M1040：端点行为防护）
• 保障措施13.2：部署基于主机的入侵检测解决方案
• 保障措施13.7：部署基于主机的入侵防护解决方案

用户培训

• 告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁（M1017：用户培训）
• 保障措施14.1：建立和维护安全意识计划
• 保障措施14.2：培训员工识别社会工程攻击

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49709
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49710

Mozilla：

• https://www.mozilla.org/en-US/security/advisories/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-47/