关键漏洞信息 CVE-2025-6424: use-after-free in FontFaceSet 影响: 低 描述: 在FontFaceSet中存在use-after-free问题,可能导致内存损坏。 CVE-2025-6425: The WebCompat WebExtension shipped with Firefox exposed a persistent UUID 影响: 中等 描述: 随Firefox一起发布的WebCompat WebExtension暴露了一个持久的UUID,可能被用于识别用户和跨会话跟踪。 CVE-2025-6426: No warning when opening executable terminal files on macOS 影响: 中等 描述: 在macOS上打开可执行终端文件时没有警告提示,可能导致用户在不知情的情况下运行恶意代码。 CVE-2025-6427: connect-src Content Security Policy restriction could be bypassed 影响: 中等 描述: 攻击者可以绕过Content Security Policy中的connect-src指令限制,导致潜在的安全风险。 CVE-2025-6428: Firefox for Android opened URLs specified in a link querystring parameter 影响: 中等 描述: 当URL以链接查询字符串参数形式提供时,Firefox for Android会错误地解析URL,导致安全检查绕过。 CVE-2025-6429: Incorrect parsing of URLs could have allowed embedding of youtube.com 影响: 低 描述: 错误的URL解析可能导致youtube.com的嵌入,绕过安全检查。 CVE-2025-6430: Content-Disposition header ignored when a file is included in an embed or object tag 影响: 中等 描述: 当下载内容包含在embed或object标签中时,Content-Disposition头被忽略,可能导致意外的文件处理行为。 CVE-2025-6431: The prompt in Firefox for Android that asks before opening a link in an external application could be bypassed 影响: 中等 描述: 攻击者可以绕过Firefox for Android在外部应用程序中打开链接前的提示,导致潜在的安全风险。 CVE-2025-6432: DNS Requests leaked outside of a configured SOCKS proxy 影响: 中等 描述: 当配置了SOCKS代理时,DNS请求可能会泄露到代理之外,导致潜在的信息泄露。 CVE-2025-6433: WebAuthn would allow a user to sign a challenge on a webpage with an invalid TLS certificate 影响: 中等 描述: 使用无效TLS证书的网页可以通过WebAuthn进行挑战签名,导致安全传输层协议要求的违反。 CVE-2025-6434: HTTPS-Only exception screen lacked anti-clickjacking delay 影响: 低 描述: HTTPS-Only异常屏幕缺乏防点击劫持延迟,可能导致点击劫持攻击。 CVE-2025-6435: Save as In Devtools could download files without sanitizing the extension 影响: 低 描述: 在Devtools中保存文件时,未对扩展名进行清理,可能导致恶意文件下载。 CVE-2025-6436: Memory safety bugs fixed in Firefox 140 and Thunderbird 140 影响: 高 描述: 修复了Firefox 140和Thunderbird 140中的多个内存安全漏洞,这些漏洞可能导致内存损坏和潜在的远程代码执行。