Amazon Linux 2023：firefox (ALAS2023-2025-976)

critical Nessus 插件 ID 237666

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2025-976 公告中提及的多个漏洞影响。

sqlite v.3.49.0 中的一个问题允许攻击者通过 SQLITE_DBCONFIG_LOOKASIDE 组件造成拒绝服务 (CVE-2025-29088)

Firefox 中的进程隔离漏洞源于未正确处理 javascript: URI，这可允许在顶级文档进程而不是预期框架中执行内容，从而可能造成沙盒逃逸。此漏洞会影响 Firefox < 138、Firefox ESR < 128.10、Firefox ESR < 115.23、Thunderbird < 138 和 Thunderbird ESR < 128.10。(CVE-2025-4083)

已在 Thunderbird 中发现一个漏洞，由于在属性访问期间缺少空值检查，XPath 解析可触发未定义的行为。这可导致越界读取访问，并可能导致内存损坏。此漏洞会影响 Firefox < 138、Firefox ESR < 128.10、Thunderbird < 138 和 Thunderbird < 128.10。(CVE-2025-4087)

Firefox 137、Thunderbird 137、Firefox ESR 128.9 和 Thunderbird 128.9 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 138、Firefox ESR < 128.10、Thunderbird < 138 和 Thunderbird < 128.10。(CVE-2025-4091)

Firefox ESR 128.9 和 Thunderbird 128.9 中存在内存安全缺陷。此错误显示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
此漏洞会影响 Firefox ESR < 128.10 和 Thunderbird < 128.10。(CVE-2025-4093)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。