摘要:
firefox security update
安全等级: High
公告ID: KylinSec-SA-2025-2532
发布日期: 2025年6月26日
关联CVE: CVE-2025-4084 CVE-2025-4087 CVE-2025-2817 CVE-2025-4083 CVE-2025-4093 CVE-2025-4091
Mozilla Firefox 是一款开源网页浏览器,专为标准兼容性、性能和可移植性而设计。
安全修复:
Thunderbird 更新机制存在漏洞,允许中等级别的用户进程通过操纵文件锁定行为干扰 SYSTEM 级更新程序。攻击者通过向用户权限进程注入代码,可绕过预期的访问控制,在非特权用户控制的路径上执行 SYSTEM 级文件操作,实现权限提升。此漏洞影响 Firefox < 138、Firefox ESR < 128.10、Firefox ESR < 115.23、Thunderbird < 138 和 Thunderbird < 128.10。(CVE-2025-2817)
Thunderbird 存在进程隔离漏洞,源于对 javascript: URI 的不当处理,可能导致内容在顶级文档进程中而非预期框架内执行,存在沙箱逃逸风险。此漏洞影响 Firefox < 138、Firefox ESR < 128.10、Firefox ESR < 115.23、Thunderbird < 138 和 Thunderbird < 128.10。(CVE-2025-4083)
"复制为 cURL" 功能对特殊字符转义不充分,攻击者可诱骗用户执行该命令,可能导致用户系统本地代码执行。
此漏洞仅影响 Windows 版 Firefox,其他版本不受影响。 影响 Firefox ESR < 128.10、Firefox ESR < 115.23 和 Thunderbird < 128.10。(CVE-2025-4084)
Thunderbird 在 XPath 解析时因属性访问缺少空指针检查可能触发未定义行为,导致越界读取和潜在内存损坏。影响 Firefox < 138、Firefox ESR < 128.10、Thunderbird < 138 和 Thunderbird < 128.10。(CVE-2025-4087)
Firefox 137、Thunderbird 137、Firefox ESR 128.9 和 Thunderbird 128.9 存在内存安全问题。部分漏洞已表现出内存损坏迹象,推测经充分利用可能执行任意代码。影响 Firefox < 138、Firefox ESR < 128.10、Thunderbird < 138 和 Thunderbird < 128.10。(CVE-2025-4091)
Firefox ESR 128.9 和 Thunderbird 128.9 存在内存安全问题。该漏洞已表现出内存损坏迹象,推测经充分利用可能执行任意代码。影响 Firefox ESR < 128.10 和 Thunderbird < 128.10。(CVE-2025-4093)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-4084 | V6 | firefox | Fixed |
| CVE-2025-4087 | V6 | firefox | Fixed |
| CVE-2025-2817 | V6 | firefox | Fixed |
| CVE-2025-4083 | V6 | firefox | Fixed |
| CVE-2025-4093 | V6 | firefox | Fixed |
| CVE-2025-4091 | V6 | firefox | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| firefox | x86_64 | 128.10.0-1.ks6.kb1 |
| firefox | aarch64 | 128.10.0-1.ks6.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
