关键漏洞信息 漏洞公告:Mozilla Foundation Security Advisory 2025-55 修复版本: Thunderbird 128.12 发布日期: June 30, 2025 影响产品: Thunderbird 漏洞详情 1. CVE-2025-6424: FontFaceSet 中的 Use-after-free - 报告者: JJP 和 HexRabbit (DEVCORE Research Team) - 影响: 高 - 描述: FontFaceSet 中的 Use-after-free 可能导致可利用的崩溃。 2. CVE-2025-6425: WebCompat WebExtension 泄露持久 UUID - 报告者: Rob Wu - 影响: 中等 - 描述: 攻击者可以通过枚举 WebCompat 扩展中的资源来获取一个持久的 UUID,该 UUID 可以识别浏览器,并在容器和正常/私密浏览模式之间持续存在,但不包括配置文件。 3. CVE-2025-6426: 在 macOS 上打开可执行终端文件时没有警告 - 报告者: pwn2car - 影响: 中等 - 描述: 可执行文件警告在用户打开具有终端扩展名的文件时未发出警告。此漏洞仅影响 macOS 版本的 Thunderbird。 4. CVE-2025-6429: 错误解析 URL 可能允许嵌入 youtube.com - 报告者: Masato Kinugawa - 影响: 中等 - 描述: Thunderbird 在解析嵌入标签中指定的 URL 时可能错误地解析并重写到 youtube.com 域,这可能会绕过限制用户可以嵌入哪些域的安全检查。 5. CVE-2025-6430: 当文件包含在嵌入或对象标签中时忽略 Content-Disposition 标头 - 报告者: Daniil Satsyrev (Positive Technologies) - 影响: 中等 - 描述: 当通过 Content-Disposition 标头指定文件下载时,如果文件包含在 或 标签中,则该指令将被忽略,可能使网站易受跨站脚本攻击。