Firefox查獲9項資安漏洞 已釋出遠端執行漏洞與跨站攻擊補丁

記者孫敬／編譯

Mozilla於8月19日發布安全公告與Firefox 142更新，已修補包含沙箱逃逸、記憶體安全漏洞等9個漏洞，有幾個更被列為高威脅性，可能導致遠端程式碼執行（RCE）。最嚴重的漏洞CVE-2025-9179，是一個存在於音訊/視訊GMP（Gecko Media Plugin）元件中的沙箱逃逸漏洞，導致重度沙箱化的GMP程序中發生記憶體損壞，讓攻擊者有機會提升權限。

延伸閱讀：iPhone用戶快更新！駭客藉「越界寫入」發送惡意圖片 收到沒打開仍會被入侵

從遠端程式碼執行到跨站攻擊，多重威脅齊發

除了沙箱逃逸漏洞，資安研究員也發現了CVE-2025-9180，一個影響Graphics Canvas2D元件的同源策略繞過漏洞，它會破壞網路基本的安全模型，讓惡意網站有機會從其他網域存取敏感資料。

此外，三個獨立的記憶體安全漏洞也構成了重大的遠端程式碼執行（RCE）風險。其中，CVE-2025-9187影響Firefox 141和Thunderbird 141；CVE-2025-9184則影響Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141和Thunderbird 141。

最普遍的漏洞為CVE-2025-9185，它影響多個長期支援版（ESR），包含Firefox ESR 115.26、128.13和140.1，以及其對應的Thunderbird版本，並有明確證據顯示它們可被利用於遠端程式碼執行。

Mozilla同時也修補了其他漏洞，像是JavaScript引擎中未初始化的記憶體問題（CVE-2025-9181），以及其他影響網址列欺騙和WebRender圖形元件中阻斷服務攻擊（DoS）狀況的低嚴重性問題。

Mozilla強烈建議企業與個人用戶立即更新至Firefox 142。

資料來源：Cyber Security News