关键漏洞信息 漏洞公告:Mozilla Foundation Security Advisory 2025-53 发布日期: June 24, 2025 影响程度: 高 产品: Firefox ESR 修复版本: Firefox ESR 128.12 CVE-2025-6424: FontFaceSet 中的 Use-after-free 报告者: LJP 和 HexRabbit (DEVCOORE 研究团队) 影响程度: 高 描述: FontFaceSet 中的 Use-after-free 可能导致可利用的崩溃。 参考: Bug 1988423 CVE-2025-6425: WebCompat WebExtension 暴露了持久 UUID 报告者: Rob Wu 影响程度: 中等 描述: 攻击者可以通过枚举 WebCompat 扩展中的资源来获取一个持久的 UUID,该 UUID 可以识别浏览器,并在容器和正常/私密浏览模式之间持续存在,但不包括配置文件。 参考: Bug 1717872 CVE-2025-6426: 在 macOS 上打开可执行终端文件时没有警告 报告者: pwn2car 影响程度: 中等 描述: 可执行文件警告在打开具有 .terminal 扩展名的文件之前不会警告用户。此漏洞仅影响 macOS 版本的 Firefox,其他版本不受影响。 参考: Bug 1964385 CVE-2025-6429: 错误解析 URL 可能允许嵌入 youtube.com 报告者: Masato Kinugawa 影响程度: 中等 描述: Firefox 可能错误地解析了一个 URL 并将其重写为 youtube.com 域,这可能绕过限制用户可以嵌入哪些域的网站安全检查。 参考: Bug 1970659 CVE-2025-6430: 当文件包含在嵌入或对象标签中时忽略 Content-Disposition 标头 报告者: Danil Satyae (Positive Technologies) 影响程度: 中等 描述: 当文件通过 Content-Disposition 标头指定下载时,如果文件包含在 或 标签中,则该指令将被忽略,可能会使网站易受跨站脚本攻击。 参考: Bug 1071140