摘要:
firefox security update
安全等级: Medium
公告ID: KylinSec-SA-2025-2654
发布日期: 2025年7月15日
关联CVE: CVE-2025-5263 CVE-2025-5267 CVE-2025-5266 CVE-2025-5264 CVE-2025-5269 CVE-2025-5268
Mozilla Firefox 是一款开源网络浏览器,专为标准兼容性、性能和可移植性而设计。
安全修复:
脚本执行的错误处理未正确与网页内容隔离,可能导致跨域信息泄露攻击。此漏洞影响以下版本:
Firefox < 139、Firefox ESR < 115.24、Firefox ESR < 128.11、Thunderbird < 139 和 Thunderbird < 128.11。(CVE-2025-5263)
由于“Copy as cURL”功能未正确转义换行符,攻击者可诱骗用户执行恶意命令,可能导致本地代码执行。此漏洞影响以下版本:
Firefox < 139、Firefox ESR < 115.24、Firefox ESR < 128.11、Thunderbird < 139 和 Thunderbird < 128.11。(CVE-2025-5264)
加载跨域资源的 script 元素触发的 load 和 error 事件可能导致信息泄露,从而引发 XS-Leaks 攻击。此漏洞影响以下版本:
Firefox < 139、Firefox ESR < 128.11、Thunderbird < 139 和 Thunderbird < 128.11。(CVE-2025-5266)
点击劫持(clickjacking) 漏洞可能被利用,诱使用户向恶意页面泄露已保存的支付卡信息。此漏洞影响以下版本:
Firefox < 139、Firefox ESR < 128.11、Thunderbird < 139 和 Thunderbird < 128.11。(CVE-2025-5267)
Firefox 138、Thunderbird 138、Firefox ESR 128.10 和 Thunderbird 128.10 中存在内存安全问题。部分漏洞可能导致内存损坏,推测攻击者可利用其中某些漏洞执行任意代码。此漏洞影响以下版本:
Firefox < 139、Firefox ESR < 128.11、Thunderbird < 139 和 Thunderbird < 128.11。(CVE-2025-5268)
Firefox ESR 128.10 和 Thunderbird 128.10 中存在内存安全问题。该漏洞可能导致内存损坏,推测攻击者可利用其执行任意代码。此漏洞影响以下版本:
Firefox ESR < 128.11 和 Thunderbird < 128.11。(CVE-2025-5269)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-5263 | V6 | firefox | Fixed |
| CVE-2025-5267 | V6 | firefox | Fixed |
| CVE-2025-5266 | V6 | firefox | Fixed |
| CVE-2025-5264 | V6 | firefox | Fixed |
| CVE-2025-5269 | V6 | firefox | Fixed |
| CVE-2025-5268 | V6 | firefox | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| firefox | x86_64 | 128.11.0-1.ks6.kb1 |
| firefox | aarch64 | 128.11.0-1.ks6.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
