Firefox 142修補多項重大漏洞

Mozilla本周發布Firefox 142桌機版本，以解決多項安全問題，包含5個高風險漏洞。

最新Firefox 142桌機版除了新功能外，也解決了CVE-2025-9179到CVE-2025-9187等8項漏洞。根據Mozilla的安全公告，5項高風險漏洞中，CVE-2025-9179為Audio/Video GMP元件存在無效指標（pointer）中，攻擊者可造成處理加密媒體資料的GMP行程記憶體毁損，引發沙箱逃逸，取得比內容程序（content process）更多的權限。

CVE-2025-9180為Graphics: Canvas 2D元件中的同源政策（same-origin policy）繞過漏洞，危及跨站安全性。攻擊者可以通過惡意Canvas操作，繞過瀏覽器的SOP限制，竊取或操作來自其他網域的敏感資料（如cookies、內容等）

其次是CVE-2025-9184、CVE-2025-9185及CVE-2025-9187，三者同為記憶體安全漏洞。Mozilla表示，分析顯示有記憶體毁損，相信只要攻擊者多下點工夫，這些漏洞能允許執行任意程式碼。CVE-2025-9184僅影響FireFox ESR/Thunderbird ESR 140.2及FireFox/Thunderbird 140，CVE-2025-9185影響多個版本ESR以及Firefox/Thunderbird 142。CVE-2025-9187影響Firefox/Thunderbird 142。

唯一的中度風險漏洞CVE-2025-9181為存在JavaScript引擎元件的非初始化（Uninitialized memory）記憶體漏洞。Firefox 142另外修補了二個低風險漏洞。包含CVE-2025-9186，為存在Firefox Focus for Android的網址列元件的身份冒用漏洞，以及CVE-2025-9182，影響Graphics: WebRender元件，濫用本漏洞可耗盡記憶體引發服務阻斷（Denial of Service，DoS）。

Mozilla同時發布Firefox of iOS 142。這個iOS版本解決一項高風險漏洞及2個中度風險漏洞。高風險漏洞為CVE-2025-55030可導致瀏覽器錯誤將附件內容直接嵌入頁面顯示（inline），而不是下載。本行為有可能被利用進行跨站腳本攻擊（XSS）。

中度風險漏洞包含JavaScript可觸發重覆發送通知造成服務中斷（CVE-2025-55028），及允許在藍牙連線範圍的攻擊者發送釣魚訊息騙取通行密鑰（CVE-2025-55031）。低度風險漏洞CVE-2025-55029類似CVE-2025-55028，但是是以觸發垃圾popup視窗造成DoS。