Mozilla 发布了 Firefox 139,解决了几个对用户构成重大风险的关键和中等安全漏洞。
该更新于 2025 年 5 月 27 日宣布,解决了从内存损坏和本地代码执行到跨域数据泄露等问题,加强了 Firefox 对用户安全的承诺。
libvpx 编码器中的 Double-Free:
Firefox 139 中修复的最严重的漏洞之一是 libvpx 编码器中的双重释放错误,特别是在 WebRTC 使用的函数中。vpx_codec_enc_init_multi
据 Randell Jesup 报告,此缺陷可能会在编码器初始化期间内存分配失败后触发双重释放场景。
结果:潜在的内存损坏和崩溃,可被利用来执行任意代码 — Mozilla 将这种影响评为严重影响。
技术细节:
- 漏洞类型:
双重免费 - 组件:
libvpx 编码器 (WebRTC) - 功能:
vpx_codec_enc_init_multi - 潜在影响:
内存损坏、远程代码执行
当程序尝试两次释放相同的内存位置时,就会发生双重释放,从而导致未定义的行为和经常可利用的崩溃。
利用此 bug 的攻击者可能会在用户系统上执行恶意代码,除了正常浏览之外,无需任何用户交互。
通过 “Copy as cURL” 执行本地代码
Firefox 139 还修补了多个中等严重性漏洞,包括“复制为 cURL”开发人员工具功能中的两个明显缺陷。
Ameen Basha M K 报告了这两篇文章:
- CVE-2025-5264 漏洞
换行符的转义不足允许攻击者编写恶意命令。如果用户复制并执行此类命令,则可能导致本地代码执行。 - CVE-2025-5265 漏洞:
在 Windows 上,同一功能中 & 字符的转义不足会产生类似的风险,但此错误特定于 Firefox for Windows。
风险命令示例:
bashcurl "http://malicious.com" && rm -rf ~/
如果换行符或 & 字符未正确转义,攻击者可附加破坏性 shell 命令,诱骗用户执行这些命令。
其他中等漏洞包括:
- CVE-2025-5 漏洞:263:
脚本执行错误处理隔离不当,导致跨域泄漏攻击。 - CVE-2025-5266 漏洞:
脚本元素事件泄露跨域资源状态,助长 XS-Leaks 攻击。 - CVE-2025-5268、CVE-2025-5272 漏洞:
内存安全 bug,如果被利用,可能会导致任意代码执行。
低影响问题和安全增强功能
虽然 Firefox 139 中解决的大多数漏洞都是严重或中等的,但也修复了一些影响较小的缺陷:
- CVE-2025-5270 漏洞:
在某些情况下,即使启用了加密的 DNS,服务器名称指示 (SNI) 也可能以未加密的方式发送,这可能会暴露浏览元数据。 - CVE-2025-5271 漏洞:
DevTools 预览功能忽略了内容安全策略 (CSP) 标头,为内容注入攻击打开了大门。 - CVE-2025-5267 漏洞:
点击劫持漏洞可能导致将保存的支付卡详细信息泄露给恶意网站。
风险因素表
|
|
|
|
|
|
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Firefox 139 的安全更新展示了 Mozilla 在缓解关键和中度威胁方面的主动方法。
原文始发于微信公众号(网安百色):Firefox 中的零交互 libvpx 缺陷允许攻击者运行任意代码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论