【 資安警訊 】- 資安業者 Aisle 揭露 Firefox 中藏匿 6 個月的高風險漏洞
發布編號:OIS-CTI-2025-12-001
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
Aisle 公布影響 Firefox 瀏覽器的資安漏洞 CVE-2025-13016 ,讓駭客得以在特定情況下執行任意程式碼,影響全球逾 1.8 億 Firefox 用戶。
圖片來源:iThome
利用 AI 技術進行自動化漏洞分析的資安業者 Aisle 本周揭露,該公司在 Firefox 的 WebAssembly引擎中發現一個堆疊緩衝區溢位漏洞 CVE-2025-13016,該漏洞是因為程式碼裡有一行指標計算錯誤,而讓駭客得以在特定情況下執行任意程式碼,影響全球逾 1.8 億Firefox用戶。
研究人員指出,Mozilla 在 2025 年 4 月加入這段含有漏洞的程式碼,並同時加入一個用來驗證其行為的回歸測試(Regression Test),但仍未能偵測出問題,直到 2025 年 10 月才被 Aisle 的自主分析器發現。
WebAssembly 是一種讓瀏覽器可執行高效能程式的技術,而 WebAssembly 引擎則負責運行這些程式。此次漏洞正位於引擎內一段用於將 WebAssembly 陣列資料複製到暫存區的 C++ 程式碼,因指標運算錯誤造成複製範圍誤算,導致資料寫出邊界並形成堆疊緩衝區溢位。CVE-2025-13016的 CVSS 風險等級為 7.5。
該漏洞影響所有支援 WebAssembly GC 的 Firefox 平臺,包括 Windows、macOS、Linux 與Android,涵蓋 Firefox 143 到145 初期版本以及 ESR 140.0 至 140.4。
此次漏洞雖發生 在Firefox 本身,但各大 Linux 發行版都在官方軟體庫提供 Firefox套件,因此在漏洞公開後,主要 Linux 系統皆迅速推出修補更新,包括 Ubuntu、Debian、Fedora、Arch Linux與紅帽企業版 Linux等,以確保使用者能自動取得安全版本。
Aisle 於 10 月 2 日向 Mozill 通報該漏洞,而 Mozilla 在 14 天內便完成修補。Aisle 並表示 Mozilla為此支付了「可觀」(Substantial)的漏洞獎金,但未透露實際金額。
影響平台:
Mozilla Firefox Firefox 143 到145
Firefox ESR 140.0 至 140.4。
建議措施:
Mozilla 強烈建議企業與個人用戶立即更新至 Firefox 145 及更高版本。
Firefox ESR 140.5 及更高版本
參考連結 :