【 資安警訊 】- Firefox 142 修補多項重大漏洞
發布編號:OIS-CTI-2025-08-004
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
Mozilla 發布 Firefox 142 桌機版本,解決多項安全問題,包含 5 個高風險資安漏洞。
圖片來源:iThome
Mozilla 本周發布 Firefox 142 桌機版本,以解決多項安全問題,包含 5 個高風險漏洞。
最新 Firefox 142 桌機版除了新功能外,也解決了 CVE-2025-9179 到 CVE-2025-9187 等 8 項漏洞。根據 Mozilla 的安全公告,5 項高風險漏洞中,CVE-2025-9179 為Audio/Video GMP 元件存在無效指標(pointer)中,攻擊者可造成處理加密媒體資料的 GMP 行程記憶體毁損,引發沙箱逃逸,取得比內容程序(content process)更多的權限。
CVE-2025-9180 為 Graphics: Canvas 2D 元件中的同源政策(same-origin policy)繞過漏洞,危及跨站安全性。攻擊者可以通過惡意 Canvas 操作,繞過瀏覽器的 SOP 限制,竊取或操作來自其他網域的敏感資料(如 cookies、內容等)
其次是 CVE-2025-9184、CVE-2025-9185 及 CVE-2025-9187,三者同為記憶體安全漏洞。Mozilla 表示,分析顯示有記憶體毁損,相信只要攻擊者多下點工夫,這些漏洞能允許執行任意程式碼。CVE-2025-9184 僅影響 FireFox ESR/Thunderbird ESR 140.2 及FireFox/Thunderbird 140,CVE-2025-9185 影響多個版本 ESR 以及 Firefox/Thunderbird 142。CVE-2025-9187 影響Firefox/Thunderbird 142。
唯一的中度風險漏洞 CVE-2025-9181 為存在 JavaScript 引擎元件的非初始化(Uninitialized memory)記憶體漏洞。Firefox 142另外修補了二個低風險漏洞。包含 CVE-2025-9186,為存在Firefox Focus for Android 的網址列元件的身份冒用漏洞,以及 CVE-2025-9182,影響 Graphics: WebRender 元件,濫用本漏洞可耗盡記憶體引發服務阻斷(Denial of Service,DoS)。
Mozilla 同時發布 Firefox of iOS 142。這個 iOS 版本解決一項高風險漏洞及 2 個中度風險漏洞。高風險漏洞為 CVE-2025-55030 可導致瀏覽器錯誤將附件內容直接嵌入頁面顯示(inline),而不是下載。本行為有可能被利用進行跨站腳本攻擊(XSS)。
中度風險漏洞包含 JavaScript 可觸發重覆發送通知造成服務中斷(CVE-2025-55028),及允許在藍牙連線範圍的攻擊者發送釣魚訊息騙取通行密鑰(CVE-2025-55031)。低度風險漏洞CVE-2025-55029 類似 CVE-2025-55028,但是是以觸發垃圾 popup 視窗造成 DoS。
影響平台:
Mozilla Firefox Firefox 141 和 Thunderbird 141。
Mozilla Firefox ESR 140.1、Thunderbird ESR 140.1、Thunderbird 141。
Mozilla Firefox ESR 115.26、128.13 和 140.1,以及其對應的 Thunderbird版本。
建議措施:
Mozilla 強烈建議企業與個人用戶立即更新至 Firefox 142。
參考連結 :