关键漏洞信息 漏洞概述 公告日期: 2025年10月10日 影响: 高 产品: Firefox ESR 修复版本: Firefox ESR 140.4 具体漏洞详情 1. CVE-2025-11708: MediaTrackGraphImpl::GetInstance()中的Use-after-free - 报告者: Ivan Kurmyshov - 影响: 高 - 描述: 在MediaTrackGraphImpl::GetInstance()中存在Use-after-free问题。 2. CVE-2025-11709: WebGL纹理触发的特权进程中越界读/写 - 报告者: Oskar L - 影响: 高 - 描述: 受损的Web进程能够通过操纵的WebGL纹理在更特权的进程中触发越界读和写。 3. CVE-2025-11710: 恶意IPC消息导致跨进程信息泄露 - 报告者: Oskar L - 影响: 中 - 描述: 使用恶意IPC消息的受损Web进程可能导致特权浏览器进程向受损进程泄露其内存块。 4. CVE-2025-11711: 某些不可写对象属性可被修改 - 报告者: Entryhi - 影响: 高 - 描述: 存在一种方法可以更改JavaScript对象属性的值,这些属性本应是不可写的。 5. CVE-2025-11712: OBJECT标签类型属性在没有内容类型的情况下覆盖浏览器行为 - 报告者: Masato Kinugawa - 影响: 中等 - 描述: 恶意网页可以使用OBJECT标签的type属性覆盖浏览器在遇到没有内容类型的Web资源时的行为,可能引发XSS攻击。 6. CVE-2025-11713: “复制为cURL”命令中的潜在用户辅助代码执行 - 报告者: Hallucinogen - 影响: 中等 - 描述: “复制为cURL”功能中的不充分转义可能被用于诱骗用户在Windows上下载并执行恶意代码。 7. CVE-2025-11714: Firefox ESR 115.29、Firefox ESR 140.3、Thunderbird ESR 14.3和Thunderbird 143中的内存安全漏洞 - 报告者: Mozilla Fuzzing Team - 影响: 高 - 描述: 这些版本中存在的内存安全漏洞显示了内存损坏的证据,推测其中一些可能被利用来运行任意代码。 8. CVE-2025-11715: Firefox ESR 140.4、Thunderbird ESR 140.4、Firefox 144和Thunderbird 144中的内存安全漏洞 - 报告者: Mozilla Fuzzing Team - 影响: 高 - 描述: 这些版本中存在的内存安全漏洞显示了内存损坏的证据,推测其中一些可能被利用来运行任意代码。