Mozilla Thunderbird 多重漏洞可能导致任意代码执行

MS-ISAC 通告编号：2025-064
发布日期：2025年7月9日

概述

在Mozilla Thunderbird邮件客户端中发现多个安全漏洞，其中最严重的漏洞可能导致任意代码执行。成功利用最严重的漏洞可允许攻击者执行任意代码。根据用户权限的不同，攻击者可能安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。系统权限配置较低的用户账户受影响程度可能低于具有管理权限的用户。

威胁情报

目前尚未发现这些漏洞在野被利用的报告。

受影响系统

Thunderbird 140之前的所有版本

风险等级

政府机构：

大中型政府实体：高
小型政府实体：中

企业：

大中型企业实体：高
小型企业实体：中

家庭用户：低

技术详情

在Mozilla Thunderbird中发现多个漏洞，其中最严重的可能导致任意代码执行。具体漏洞详情如下：

战术：初始访问（TA0001） 技术：路过式攻击（T1189）

FontFaceSet中的释放后使用漏洞导致可能被利用的崩溃（CVE-2025-6424）
Firefox 140和Thunderbird 140中修复的内存安全错误（CVE-2025-6436）

其他较低严重性漏洞包括：

WebCompat WebExtension暴露持久UUID（CVE-2025-6425）
macOS打开可执行终端文件时无警告（CVE-2025-6426）
可绕过connect-src内容安全策略限制（CVE-2025-6427）
URL解析错误可能允许嵌入youtube.com（CVE-2025-6429）
embed或object标签中包含文件时忽略Content-Disposition标头（CVE-2025-6430）
DNS请求泄露到配置的SOCKS代理之外（CVE-2025-6432）
WebAuthn允许用户在具有无效TLS证书的网页上签署质询（CVE-2025-6433）
HTTPS-Only异常屏幕缺少防点击劫持延迟（CVE-2025-6434）
Devtools中的"另存为"功能下载文件时未清理扩展名（CVE-2025-6435）

建议措施

建议采取以下防护措施：

立即应用更新
- 经过适当测试后立即为易受攻击系统应用Mozilla提供的更新（M1051：更新软件）
- 保障措施7.1：建立和维护漏洞管理流程
- 保障措施7.4：执行自动化应用程序补丁管理
- 保障措施7.7：修复检测到的漏洞
- 保障措施9.1：确保仅使用完全支持的浏览器和邮件客户端
实施最小权限原则
- 对所有系统和服务应用最小权限原则，以非特权用户身份运行所有软件（M1026：特权账户管理）
- 保障措施4.7：管理企业资产和软件的默认账户
- 保障措施5.4：将管理员权限限制为专用管理员账户
启用漏洞利用防护
- 使用功能检测和阻止可能导致或指示软件漏洞利用的条件（M1050：漏洞利用防护）
- 保障措施10.5：启用反漏洞利用功能
限制网络内容
- 限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于网络的内容）
- 保障措施9.2：使用DNS过滤服务
- 保障措施9.3：维护和执行基于网络的URL过滤器
- 保障措施9.6：阻止不必要的文件类型
执行预防措施
- 通过应用程序控制和/或脚本阻止来阻止在系统上执行代码（M1038：执行预防）
- 保障措施2.5：允许列表授权软件
- 保障措施2.6：允许列表授权库
- 保障措施2.7：允许列表授权脚本
部署入侵检测和预防
- 使用功能防止在终端系统上发生可疑行为模式（M1040：终端行为预防）
- 保障措施13.2：部署基于主机的入侵检测解决方案
- 保障措施13.7：部署基于主机的入侵预防解决方案
用户培训和教育
- 告知和教育用户有关电子邮件或附件中超链接带来的威胁（M1017：用户培训）
- 保障措施14.1：建立和维护安全意识计划
- 保障措施14.2：培训员工识别社会工程攻击

参考链接

CVE链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6424
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6425
…（其他CVE链接）

Mozilla安全公告：