关键漏洞信息 漏洞概述 公告日期: 2025年10月14日 影响产品: Thunderbird 修复版本: Thunderbird 140.4 漏洞详情 CVE-2025-11708: MediaTrackGraphImpl::GetInstance() 中的 Use-after-free 报告者: Jann Niklas Hausmann 影响: 高 描述: 在 MediaTrackGraphImpl::GetInstance() 中存在 Use-after-free 漏洞。 CVE-2025-11709: WebGL 纹理触发的特权进程中越界读/写 报告者: Ciskar L 影响: 高 描述: 恶意网页进程可以利用操纵的 WebGL 纹理在更特权的进程中触发越界读/写。 CVE-2025-11710: 恶意 IPC 消息导致跨进程信息泄露 报告者: Ciskar L 影响: 高 描述: 恶意网页进程使用 mainloop IPC 消息可能导致特权浏览器进程向受感染进程泄露内存块。 CVE-2025-11711: 可修改某些不可写的对象属性 报告者: EnryYu 影响: 高 描述: 可以更改 JavaScript 对象中预期为不可写的属性值。 CVE-2025-11712: OBJECT 标签类型属性覆盖浏览器行为,无需内容类型 报告者: Masato Kinugawa 影响: 中等 描述: 恶意页面可以使用 OBJECT 标签的 type 属性覆盖默认处理程序,当遇到没有内容类型的 Web 资源时。 CVE-2025-11713: “复制为 cURL” 命令中的潜在用户辅助代码执行 报告者: Haifich 影响: 中等 描述: “复制为 cURL” 功能中的不充分转义可能被用于诱骗用户在 Windows 上执行意外代码。 CVE-2025-11714: Firefox ESR 115.29、Firefox ESR 140.4、Thunderbird ESR 140.4、Firefox 144 和 Thunderbird 144 中修复的内存安全漏洞 报告者: Mozilla Fuzzing Team 影响: 高 描述: 存在内存安全漏洞,显示内存损坏证据,可能被利用来运行任意代码。 CVE-2025-11715: Firefox ESR 140.4、Thunderbird ESR 140.4、Firefox 144 和 Thunderbird 144 中修复的内存安全漏洞 报告者: Mozilla Fuzzing Team 影响: 高 描述: 存在内存安全漏洞,显示内存损坏证据,可能被利用来运行任意代码。