Mozilla Thunderbird 多个漏洞可能导致任意代码执行

MS-ISAC 公告编号：2025-064
发布日期：2025年7月9日

概述

在Mozilla Thunderbird中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。Mozilla Thunderbird是一款电子邮件客户端。成功利用最严重的这些漏洞可能允许任意代码执行。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。在系统上配置较少用户权限的用户帐户可能比使用管理用户权限操作的用户受到的影响较小。

威胁情报

目前没有关于这些漏洞在野外被利用的报告。

受影响系统

Thunderbird 140之前版本

风险等级

政府机构：
大型和中型政府实体 - 高
小型政府实体 - 中

企业：
大型和中型企业实体 - 高
小型企业实体 - 中

家庭用户： 低

技术摘要

在Mozilla Thunderbird中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001）
技术：驱动式攻击（T1189）

• FontFaceSet中的释放后使用导致可能可利用的崩溃（CVE-2025-6424）
• Firefox 140和Thunderbird 140中修复的内存安全错误（CVE-2025-6436）

其他较低严重性漏洞包括：

• 附带的WebCompat WebExtension暴露了持久UUID（CVE-2025-6425）
• 在macOS上打开可执行终端文件时无警告（CVE-2025-6426）
• 可绕过connect-src内容安全策略限制（CVE-2025-6427）
• URL解析不正确可能允许嵌入youtube.com（CVE-2025-6429）
• 在embed或object标签中包含文件时忽略Content-Disposition标头（CVE-2025-6430）
• DNS请求泄漏到配置的SOCKS代理之外（CVE-2025-6432）
• WebAuthn允许用户在具有无效TLS证书的网页上签署挑战（CVE-2025-6433）
• HTTPS-Only异常屏幕缺少防点击劫持延迟（CVE-2025-6434）
• Devtools中的"另存为"可能下载文件而不清理扩展名（CVE-2025-6435）

成功利用最严重的这些漏洞可能允许任意代码执行。根据与用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。在系统上配置较少用户权限的用户帐户可能比使用管理用户权限操作的用户受到的影响较小。

修复建议

我们建议采取以下措施：

1. 应用适当更新：在适当测试后立即将Mozilla提供的适当更新应用到易受攻击的系统（M1051：更新软件）

   • 保障措施7.1：建立和维护漏洞管理流程
   • 保障措施7.4：执行自动化应用程序补丁管理
   • 保障措施7.7：修复检测到的漏洞
   • 保障措施9.1：确保仅使用完全支持的浏览器和电子邮件客户端

2. 应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户（无管理权限）身份运行所有软件，以减少成功攻击的影响（M1026：特权帐户管理）

   • 保障措施4.7：管理企业资产和软件上的默认帐户
   • 保障措施5.4：将管理员权限限制为专用管理员帐户

3. 启用利用防护功能：使用功能检测和阻止可能导致或指示软件利用发生的条件（M1050：利用保护）

   • 保障措施10.5：启用防利用功能

4. 限制基于Web的内容：限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于Web的内容）

   • 保障措施9.2：使用DNS过滤服务
   • 保障措施9.3：维护和执行基于网络的URL过滤器
   • 保障措施9.6：阻止不必要的文件类型

5. 阻止代码执行：通过应用程序控制和/或脚本阻止阻止在系统上执行代码（M1038：执行预防）

   • 保障措施2.5：允许列表授权软件
   • 保障措施2.6：允许列表授权库
   • 保障措施2.7：允许列表授权脚本

6. 端点行为预防：使用功能防止在端点系统上发生可疑行为模式。这可能包括可疑的进程、文件、API调用等行为（M1040：端点行为预防）

   • 保障措施13.2：部署基于主机的入侵检测解决方案
   • 保障措施13.7：部署基于主机的入侵防御解决方案

7. 用户培训：告知和教育用户有关电子邮件或附件中包含的超文本链接带来的威胁，特别是来自不受信任来源的链接。提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接（M1017：用户培训）

   • 保障措施14.1：建立和维护安全意识计划
   • 保障措施14.2：培训员工识别社会工程攻击

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6424
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6425
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6426
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6427
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6429
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6430
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6432
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6433
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6434
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6435
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6436

Mozilla：

• https://www.mozilla.org/en-US/security/advisories/
• https://www.mozilla.org/en-US/security/advisories/mfsa2025-54/