Mozilla

Mozilla本周发布Firefox 142桌机版本，以解决多项安全问题，包含5个高风险漏洞。

最新Firefox 142桌机版除了新功能外，也解决了CVE-2025-9179到CVE-2025-9187等8项漏洞。根据Mozilla的安全公告，5项高风险漏洞中，CVE-2025-9179为Audio/Video GMP元件存在无效指标（pointer）中，攻击者可造成处理加密媒体资料的GMP行程记忆体毁损，引发沙箱逃逸，取得比内容程序（content process）更多的权限。

CVE-2025-9180为Graphics: Canvas 2D元件中的同源政策（same-origin policy）绕过漏洞，危及跨站安全性。攻击者可以通过恶意Canvas操作，绕过浏览器的SOP限制，窃取或操作来自其他网域的敏感资料（如cookies、内容等）

其次是CVE-2025-9184、CVE-2025-9185及CVE-2025-9187，三者同为记忆体安全漏洞。Mozilla表示，分析显示有记忆体毁损，相信只要攻击者多下点工夫，这些漏洞能允许执行任意程序码。CVE-2025-9184仅影响FireFox ESR/Thunderbird ESR 140.2及FireFox/Thunderbird 140，CVE-2025-9185影响多个版本ESR以及Firefox/Thunderbird 142。CVE-2025-9187影响Firefox/Thunderbird 142。

唯一的中度风险漏洞CVE-2025-9181为存在JavaScript引擎元件的非初始化（Uninitialized memory）记忆体漏洞。Firefox 142另外修补了二个低风险漏洞。包含CVE-2025-9186，为存在Firefox Focus for Android的网址列元件的身份冒用漏洞，以及CVE-2025-9182，影响Graphics: WebRender元件，滥用本漏洞可耗尽记忆体引发服务阻断（Denial of Service，DoS）。

Mozilla同时发布Firefox of iOS 142。这个iOS版本解决一项高风险漏洞及2个中度风险漏洞。高风险漏洞为CVE-2025-55030可导致浏览器错误将附件内容直接嵌入页面显示（inline），而不是下载。本行为有可能被利用进行跨站脚本攻击（XSS）。

中度风险漏洞包含JavaScript可触发重覆发送通知造成服务中断（CVE-2025-55028），及允许在蓝牙连线範围的攻击者发送钓鱼讯息骗取通行密钥（CVE-2025-55031）。低度风险漏洞CVE-2025-55029类似CVE-2025-55028，但是是以触发垃圾popup视窗造成DoS。