Mozilla 已正式发布 Firefox 137 ，修复了多个严重的安全漏洞，这些漏洞有可能让远程攻击者执行任意代码、引发拒绝服务状况，或在受影响的系统上提升权限。

这一重要的安全更新于 2025 年 4 月 1 日发布，修复了多个内存安全漏洞以及 use-after-free（使用后释放）漏洞，这些漏洞对早期版本的用户构成了重大风险。

高安全等级修复内容

CVE-2025-3028 漏洞

本次发布修复的最值得关注的漏洞是 CVE-2025-3028，该漏洞由 Google Project Zero 的 Ivan Fratric 发现。

这一高影响的 use-after-free 漏洞可能会在 JavaScript 代码在使用 XSLTProcessor 转换文档时运行时被触发。

如果被利用，这一缺陷有可能让攻击者在受害者的系统上执行任意代码。

这一缺陷影响了 137 版本之前的Firefox版本、低于 115.22 和 128.9 版本的Firefox ESR版本，以及低于 137 和 128.9 版本的 Thunderbird 邮件客户端。Mozilla 通过在 XSLT 处理过程中改进内存管理，在 Firefox 137 中修复了该漏洞。

CVE-2025-3030 漏洞

Mozilla 还修复了 CVE-2025-3030 漏洞，这是一个存在于 Firefox 136 及其他 Mozilla 产品中的关键内存安全漏洞。

据安全研究人员 Sylvestre Ledru、Paul Bone 以及 Mozilla Fuzzing 团队称，这些漏洞显示出内存损坏的迹象，并且有可能被攻击者付出足够努力后利用来运行任意代码。

在 Firefox 137 及相关的 ESR / Thunderbird 更新中，修复措施包括在整个代码库中加强内存验证和清理。

CVE-2025-3034 漏洞

由 Andrew McCreight 和 Mozilla Fuzzing 团队报告，该漏洞专门针对 Firefox 136 和 Thunderbird 136 版本中的内存安全问题。

这些集中在Just-In-Time（JIT）编译器和电子邮件处理模块中的漏洞，有明显的内存损坏迹象。

Firefox 137 和 Thunderbird 137 版本的修复措施包括强化 Just-In-Time 编译器的安全检查，以及解决内存处理中的竞态条件问题。

其他修复的漏洞

此次更新还修复了 CVE-2025-3035 漏洞，该漏洞导致在 137 版本之前的 Firefox 中，文档标题会泄露到聊天提示中。

另一个值得注意的修复是 CVE-2025-3029 漏洞，这是一个中等影响的漏洞，涉及使用非 BMP Unicode 字符进行地址栏欺骗，精心构造的 URL 可能会隐藏网页的真实来源，从而引发潜在的欺骗攻击。

此外，CVE-2025-3031 修复了一个问题，即攻击者有可能读取 Just-In-Time 编译函数中溢出到堆栈上的 32 位值。

安全研究人员发现了 CVE-2025-3032 漏洞，该漏洞中来自分叉服务器（fork server）的文件描述符可能会泄露到网页内容进程中，从而有可能导致权限提升攻击。

这些漏洞共同构成了严重的安全风险，包括拒绝服务、权限提升、远程代码执行、欺骗和信息泄露。

影响及建议

Firefox 137 修复的这些漏洞影响了该浏览器的所有早期版本。Mozilla 同时为其生态系统中的其他产品发布了更新，包括 Firefox ESR 115.22、Firefox ESR 128.9、Thunderbird 137 和 Thunderbird ESR 128.9

安全专家强烈建议所有Firefox 用户立即更新，以降低被攻击利用的风险。

在企业环境中使用Firefox的机构应优先进行此次更新，特别是考虑到其中一些漏洞的通用漏洞评分系统（CVSS）评分为 9.8，属于严重等级。

这些内存安全漏洞显示出明显的损坏模式，恶意行为者有可能利用这些模式来执行任意代码。

用户可以通过打开 Firefox 的菜单，选择 “帮助”，然后点击 “关于 Firefox ” 来更新浏览器，这样会自动检查并安装可用的更新。

对于那些无法立即更新的用户，安全专家建议暂时切换到其他浏览器，直到可以进行更新，因为对于这些漏洞没有可靠的解决方法。

Firefox 137 的发布表明 Mozilla 持续致力于及时、透明地解决安全问题。建议用户为所有 Mozilla 产品启用自动更新功能，以确保一旦有安全补丁发布就能立即收到。

文章原文链接:https://www.anquanke.com/post/id/306164