远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 128.13。因此受到公告 mfsa2025-62 中提及的多个漏洞的影响。

  - Firefox ESR 115.25、Firefox ESR 128.12、Thunderbird ESR 128.12、Firefox ESR 140.0、Thunderbird ESR 140.0、Firefox 140 和 Thunderbird 140 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-8034)

  - 在 64 位平台上IonMonkey-JIT 仅写入堆栈上 的 64 位返回值空间的 32 位。
    然而 Baseline-JIT 会读取整个 64 位。 (CVE-2025-8027)

  - 在 arm64 中包含大量条目的 WASM <code>brtable</code> 指令可能导致标签距离指令太远从而造成截断和错误计算分支地址。
    (CVE-2025-8028)

  - Thunderbird 在用于 <code>对象</code> 和 <code>嵌入</code> 标签时执行 <code>javascript:</code> URL。 (CVE-2025-8029)

  - 复制为 cURL 功能中的不充分转义可能被用来诱骗用户执行非预期的代码。 (CVE-2025-8030)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 141.0。因此受到公告 mfsa2025-61 中提及的多个漏洞的影响。

  - Firefox ESR 115.25、Firefox ESR 128.12、Thunderbird ESR 128.12、Firefox ESR 140.0、Thunderbird ESR 140.0、Firefox 140 和 Thunderbird 140 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-8034)

  - 在 64 位平台上IonMonkey-JIT 仅写入堆栈上 的 64 位返回值空间的 32 位。
    然而 Baseline-JIT 会读取整个 64 位。 (CVE-2025-8027)

  - 在 arm64 中包含大量条目的 WASM <code>brtable</code> 指令可能导致标签距离指令太远从而造成截断和错误计算分支地址。
    (CVE-2025-8028)

  - Thunderbird 在用于 <code>对象</code> 和 <code>嵌入</code> 标签时执行 <code>javascript:</code> URL。 (CVE-2025-8029)

  - Thunderbird 缓存 IP 地址更改中的 CORS 预检响应。这允许通过 DNS 重新绑定避开 CORS。 (CVE-2025-8036)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 140.1。因此受到公告 mfsa2025-63 中提及的多个漏洞的影响。

  - Firefox ESR 115.25、Firefox ESR 128.12、Thunderbird ESR 128.12、Firefox ESR 140.0、Thunderbird ESR 140.0、Firefox 140 和 Thunderbird 140 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-8034)

  - 在 64 位平台上IonMonkey-JIT 仅写入堆栈上 的 64 位返回值空间的 32 位。
    然而 Baseline-JIT 会读取整个 64 位。 (CVE-2025-8027)

  - 在 arm64 中包含大量条目的 WASM <code>brtable</code> 指令可能导致标签距离指令太远从而造成截断和错误计算分支地址。
    (CVE-2025-8028)

  - Thunderbird 在用于 <code>对象</code> 和 <code>嵌入</code> 标签时执行 <code>javascript:</code> URL。 (CVE-2025-8029)

  - Thunderbird 缓存 IP 地址更改中的 CORS 预检响应。这允许通过 DNS 重新绑定避开 CORS。 (CVE-2025-8036)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 138.0.7204.168。因此如公告 2025_07_stable-channel-update-for-desktop_22 所述受到多个漏洞的影响。

  - V8 中存在类型混淆漏洞。（CVE-2025-8010、CVE-2025-8011）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 115.26。因此受到公告 mfsa2025-57 中提及的多个漏洞的影响。

  - Firefox ESR 115.25、Firefox ESR 128.12、Thunderbird ESR 128.12、Firefox ESR 140.0、Thunderbird ESR 140.0、Firefox 140 和 Thunderbird 140 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-8034)

  - 在 64 位平台上IonMonkey-JIT 仅写入堆栈上 的 64 位返回值空间的 32 位。
    然而 Baseline-JIT 会读取整个 64 位。 (CVE-2025-8027)

  - 在 arm64 中包含大量条目的 WASM <code>brtable</code> 指令可能导致标签距离指令太远从而造成截断和错误计算分支地址。
    (CVE-2025-8028)

  - JavaScript 引擎未正确处理已关闭的发生器且可能会将其恢复从而导致 nullptr 取消引用。 (CVE-2025-8033)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 140.1。因此受到公告 mfsa2025-59 中提及的多个漏洞的影响。

  - Firefox ESR 140.0、Thunderbird ESR 140.0、Firefox 140 和 Thunderbird 140 中存在内存安全缺陷。
    其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-8040)

  - 在 64 位平台上IonMonkey-JIT 仅写入堆栈上 的 64 位返回值空间的 32 位。
    然而 Baseline-JIT 会读取整个 64 位。 (CVE-2025-8027)

  - 在 arm64 中包含大量条目的 WASM <code>brtable</code> 指令可能导致标签距离指令太远从而造成截断和错误计算分支地址。
    (CVE-2025-8028)

  - 在 <code>对象</code> 和 <code>嵌入</code> 标签中使用时Firefox 执行 <code>javascript:</code> URL。 (CVE-2025-8029)

  - Firefox 缓存了 IP 地址更改中的 CORS 预检响应。这允许通过 DNS 重新绑定避开 CORS。 (CVE-2025-8036)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 141.0。因此受到公告 mfsa2025-56 中提及的多个漏洞的影响。

  - Firefox 140 和 Thunderbird 140 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-8044)

  - 在 64 位平台上IonMonkey-JIT 仅写入堆栈上 的 64 位返回值空间的 32 位。
    然而 Baseline-JIT 会读取整个 64 位。 (CVE-2025-8027)

  - 在 arm64 中包含大量条目的 WASM <code>brtable</code> 指令可能导致标签距离指令太远从而造成截断和错误计算分支地址。
    (CVE-2025-8028)

  - 在地址栏中Firefox for Android 从末尾截断 URL 显示而不是优先显示 URL。 (CVE-2025-8041)

  - Firefox for Android 允许不具有 <code>allow-downloads</code> 属性的沙盒 iframe 启动下载。 (CVE-2025-8042)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 128.13。因此受到公告 mfsa2025-58 中提及的多个漏洞的影响。

  - Firefox ESR 128.12、Thunderbird ESR 128.12、Firefox ESR 140.0、Thunderbird ESR 140.0、Firefox 140 和 Thunderbird 140 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
    (CVE-2025-8035)

  - 在 64 位平台上IonMonkey-JIT 仅写入堆栈上 的 64 位返回值空间的 32 位。
    然而 Baseline-JIT 会读取整个 64 位。 (CVE-2025-8027)

  - 在 arm64 中包含大量条目的 WASM <code>brtable</code> 指令可能导致标签距离指令太远从而造成截断和错误计算分支地址。
    (CVE-2025-8028)

  - 在 <code>对象</code> 和 <code>嵌入</code> 标签中使用时Firefox 执行 <code>javascript:</code> URL。 (CVE-2025-8029)

  - 复制为 cURL 功能中的不充分转义可能被用来诱骗用户执行非预期的代码。 (CVE-2025-8030)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

如公告 2025 年 7 月 15 日所述远程主机上安装的 Microsoft Office for Mac 版本受到多个漏洞的影响。

  - Microsoft Office 中存在基于堆的缓冲区溢出，未经授权的攻击者可利用此漏洞在本地执行代码。
    (CVE-2025-49697)

  - Microsoft Office Excel 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。
    (CVE-2025-49711)

  - Microsoft Office Excel 中的越界读取可允许未经授权的攻击者在本地泄露信息。 (CVE-2025-48812)

  - Microsoft Office PowerPoint 中基于堆的缓冲区溢出允许未经授权的攻击者在本地执行代码。 (CVE-2025-49705)

  - Microsoft Office Word 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。
    （CVE-2025-49698、CVE-2025-49703）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 138.0.7204.157。因此，该浏览器受到 2025_07_stable-channel-update-for-desktop_15 公告中提及的多个漏洞影响。

  - WebRTC 中的释放后使用。(CVE-2025-7657)

  - 未正确验证 ANGLE 和 GPU 中不受信任的输入。(CVE-2025-6558)

  - V8 中的整数溢出漏洞。(CVE-2025-7656)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Zoom Workplace 版本低于 6.4.5。因此如公告 ZSB-25027 所述受到一个漏洞的影响。

  - 某些 Zoom Client for Windows 中的 Classic 缓冲区溢出可能允许经授权的用户通过网络访问发动拒绝服务。 (CVE-2025-49464)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装了 Cisco Secure Endpoint Connector。

远程主机上安装的 HashiCorp Vagrant 版本是低于 2.2.10 的 2.4.7。因而受到代码注入漏洞的影响。 

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装了 HashiCorp Vagrant。

远程 macOS 主机上安装的 Adobe Dimension 版本低于 4.1.3。因此，它受到 APSB25-63 公告中提及的多个漏洞影响。

  - Dimension 4.1.2 及更早版本受到越界写入漏洞影响，攻击者可利用此漏洞在当前用户的上下文中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-30312)

  - Dimension 4.1.2 及更早版本受到越界读取漏洞影响，此漏洞可导致敏感的内存信息遭泄露。攻击者可利用此漏洞来绕过 ASLR 等缓解措施。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-47135)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe InDesign 版本低于 19.5.4 或 20.4.0 版本。因此，它受到 APSB25-60 公告中提及的多个漏洞影响。

  - InDesign Desktop 19.5.3 及更早版本受到整数下溢（环绕或回绕）漏洞影响，此漏洞可导致在当前用户的上下文中发生任意代码执行情况。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-47136)

  - InDesign Desktop 19.5.3 及更早版本均受到基于堆的缓冲区溢出漏洞影响，此漏洞可导致在当前用户的上下文中发生任意代码执行情况。若要恶意利用此问题，需要进行用户交互，其中受害者必须打开恶意文件。（CVE-2025-43591、CVE-2025-47103、CVE-2025-47134）

  - InDesign Desktop 19.5.3 及更早版本受到未初始化的指针访问漏洞影响，此漏洞可导致在当前用户的上下文中发生任意代码执行情况。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-43592)

  - InDesign Desktop 19.5.3 及更早版本受到越界写入漏洞影响，此漏洞可导致在当前用户的上下文中发生任意代码执行情况。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-43594)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Illustrator 版本低于 28.7.8 和 29.6.0。因此，它受到 APSB25-65 公告中提及的多个漏洞影响。

  - Illustrator 28.7.6、29.5.1 及更早版本受到整数下溢（环绕或回绕）漏洞影响，此漏洞可导致在当前用户的上下文中发生任意代码执行情况。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-49532)

  - Illustrator 28.7.6、29.5.1 和更早版本会受到越界写入漏洞影响，导致攻击者可在当前用户的上下文中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。（CVE-2025-49526、CVE-2025-49530）

  - Illustrator 28.7.6、29.5.1 和更早版本受到基于堆的缓冲区溢出漏洞影响，导致攻击者可在当前用户的上下文中执行任意代码。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    （CVE-2025-49527、CVE-2025-49528）

  - Illustrator 28.7.6、29.5.1 和更早版本受到未初始化的指针访问漏洞影响，此漏洞可导致在当前用户的上下文中发生任意代码执行情况。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-49529)

  - Illustrator 28.7.6、29.5.1 及更早版本受到整数溢出或回绕漏洞影响，此漏洞可导致在当前用户的上下文中发生任意代码执行情况。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-49531)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Audition 版本低于 24.6.7 和 25.3。因此，该应用程序受到 APSB25-56 公告中提及的一个漏洞影响。

  - Audition 25.2、24.6.3 以及更早版本受到访问缓冲区末尾之后的内存位置漏洞影响，此漏洞可导致应用程序拒绝服务。攻击者可利用此漏洞来造成应用程序崩溃或功能中断。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-43580)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe After Effects 版本低于 24.6.7 和 25.3 版。因此，它受到公告 APSB25-49 中提及的多个漏洞影响。

  - After Effects 25.2、24.6.6 以及更低版本均受到越界读取漏洞影响，此漏洞可导致敏感内存信息遭到泄露。攻击者可利用此漏洞来绕过 ASLR 等缓解措施。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-43587)

  - After Effects 25.2、24.6.6 以及更早版本受到空指针取消引用漏洞的影响，此漏洞可能造成应用程序拒绝服务。攻击者可利用此漏洞造成应用程序崩溃，从而导致服务中断的情况。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-47109)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 128.12。因此，该应用程序受到 mfsa2025-55 公告中提及的多个漏洞的影响。

  - 在用户用<code>终端</code>扩展打开文件之前，可执行文件警告不会警告用户。此错误仅影响 MacOS 版 Thunderbird。其他版本的 Thunderbird 不受影响。
    (CVE-2025-6426)

  - FontFaceSet 的释放后使用导致潜在的可利用崩溃。(CVE-2025-6424)

  - 从 WebCompat 扩展枚举资源的攻击者可能已获得一个持久性 UUID，攻击者可通过该 UUID 识别浏览器，并且持续存在于容器和普通/隐私浏览模式，而非配置文件中。(CVE-2025-6425)

  - 在解析<code>嵌入</code>标签中指定的 URL 时，Thunderbird 可能错误地解析了一个 URL，并将其重写进了 youtube.com 域。攻击者可能已绕过限制哪些域用户可嵌入的网络安全检查。(CVE-2025-6429)

  - 若文件下载已通过<code>内容处理</code>标题指定，且文件通过 <code><embed></code> 或 <code><object></code> 标签被纳入，则该指令会被忽略，这可能导致网站容易受到跨站脚本攻击。(CVE-2025-6430)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 140.0。因此，该应用程序受到 mfsa2025-54 公告中提及的多个漏洞的影响。

  - 如果用户使用不合格的 TLS 证书访问网页并获得豁免，网站可以提出 WebAuthn 挑战，该用户会收到完成此挑战的提示。这与 WebAuthN 规范相违背，该规范要求建立无错误的安全传输。(CVE-2025-6433)

  - FontFaceSet 的释放后使用导致潜在的可利用崩溃。(CVE-2025-6424)

  - 从 WebCompat 扩展枚举资源的攻击者可能已获得一个持久性 UUID，攻击者可通过该 UUID 识别浏览器，并且持续存在于容器和普通/隐私浏览模式，而非配置文件中。(CVE-2025-6425)

  - 在用户用<code>终端</code>扩展打开文件之前，可执行文件警告不会警告用户。此错误仅影响 MacOS 版 Thunderbird。其他版本的 Thunderbird 不受影响。
    (CVE-2025-6426)

  - 攻击者可通过篡改子文档来绕过内容安全策略的 <code>connect-src</code> 指令。这也可能对 Devtools 中的“Network”（网络）选项卡隐藏连接。
    (CVE-2025-6427)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 138.0.7204.92。因此，该应用程序受到 2025_06_stable-channel-update-for-desktop_30 公告中提及的一个漏洞影响。

  - 在 Google Chrome 138.0.7204.96 之前版本中，V8 中存在类型混淆问题，允许远程攻击者通过构建的 HTML 页面执行任意读取/写入。（Chromium 安全严重性：高）(CVE-2025-6554)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 GStreamer 版本低于 1.26.2。因此，它受到以下多个漏洞影响：

  - SubRip 字幕解析器中存在一个空指针取消引用，可造成某些输入文件崩溃。(CVE-2025-47807)

  - TMPlayer 字幕解析器中存在一个空指针取消引用，可造成某些输入文件崩溃。(CVE-2025-47808)

  - MOV/MP4 demuxer 中存在越界读取，可造成崩溃或可能泄漏某些输入文件的信息。(CVE-2025-47219)

  - MOV/MP4 demuxer 中存在越界读取，可造成崩溃或可能泄漏某些输入文件的信息。(CVE-2025-47183)

  - SubRip 字幕解析器中存在一个堆栈缓冲区溢出，可造成某些输入文件崩溃。(CVE-2025-47806)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装了 GStreamer，它是用于构建媒体处理组件图表的多媒体框架。

远程 macOS 主机上安装的 Google Chrome 版本低于 138.0.7204.49。因此，该应用程序受到 2025_06_stable-channel-update-for-desktop_24 公告中提及的多个漏洞影响。

  - 动画中存在释放后使用。(CVE-2025-6555)

  - 加载程序中存在策略执行不充分。(CVE-2025-6556)

  - DevTools 中的数据验证不充分 (CVE-2025-6557)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 115.25。因此受到公告 mfsa2025-52 中提及的多个漏洞的影响。

  - FontFaceSet 中的释放后使用导致潜在可利用的崩溃。 (CVE-2025-6424)

  - 可枚举 WebCompat 扩展中资源的攻击者可取得可识别浏览器的持久性 UUID，并在容器与正常/隐私浏览模式之间存续，但不会在配置文件之间存续。 (CVE-2025-6425)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 128.12。因此受到公告 mfsa2025-53 中提及的多个漏洞的影响。

  - FontFaceSet 中的释放后使用导致潜在可利用的崩溃。 (CVE-2025-6424)

  - 可枚举 WebCompat 扩展中资源的攻击者可取得可识别浏览器的持久性 UUID，并在容器与正常/隐私浏览模式之间存续，但不会在配置文件之间存续。 (CVE-2025-6425)

  - 可执行文件警告打开具有 <code>Terminal</code> 扩展名的文件之前未警告用户。此错误仅影响 macOS 版 Firefox。其他版本的 Firefox 不受影响。
    (CVE-2025-6426)

  - Firefox 在解析 <code>embed</code> 标签中指定的 URL 时可能未正确解析 URL 并将其重写为 youtube.com 域。这可能绕过了限制允许用户嵌入的域的网站安全检查。 (CVE-2025-6429)

  - 通过 <code>Content-Disposition</code> 标头指定文件下载时如果通过 <code><embed></code> 或 <code><object></code> 标签包含文件则指令会被忽略进而可能造成网站容易遭受跨站脚本攻击。 (CVE-2025-6430)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 140.0。因此，该应用程序受到 mfsa2025-51 公告中提及的多个漏洞影响。

  - 在 Firefox 139 和 Thunderbird 139 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-6436)

  - FontFaceSet 的释放后使用导致潜在的可利用崩溃。(CVE-2025-6424)

  - 从 WebCompat 扩展枚举资源的攻击者可能已获得一个持久性 UUID，攻击者可通过该 UUID 识别浏览器，并且持续存在于容器和普通/隐私浏览模式，而非配置文件中。(CVE-2025-6425)

  - 在用户用<code>终端</code>扩展打开文件之前，可执行文件警告不会警告用户。此错误仅影响 macOS 版 Firefox。其他版本的 Firefox 不受影响。
    (CVE-2025-6426)

  - 攻击者可通过篡改子文档来绕过内容安全策略的 <code>connect-src</code> 指令。这也可能对 Devtools 中的“Network”（网络）选项卡隐藏连接。
    (CVE-2025-6427)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Palo Alto GlobalProtect App 版本为低于 6.2.8-h2 的 6.x 或低于 [ 6.3.x 的 6.3.3-650。因此会受到不当访问控制漏洞的影响

  - Palo Alto Networks GlobalProtect 应用程序的端点流量策略执行功能中存在一个不正确的访问控制漏洞使某些数据包在隧道内保持未加密状态而不是受到适当的保护。拥有网络物理访问权限的攻击者可注入恶意设备以拦截这些数据包。正常操作条件下GlobalProtect 应用程序会在一分钟内自动恢复此拦截。 (CVE-2025-4227)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 137.0.7151.119。因此，该主机受到 2025_06_stable-channel-update-for-desktop_17 公告中提及的多个漏洞影响。

  - Profiler 中的释放后使用漏洞。(CVE-2025-6192)

  - V8 中的整数溢出漏洞。(CVE-2025-6191)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Palo Alto GlobalProtect App 版本为低于 6.2.8-h2 的 6.x 或低于 [ 6.3.x 的 6.3.3。因此，该应用程序受到权限升级漏洞的影响：

  - macOS 上 Palo Alto Networks GlobalProtect™ 应用程序的日志收集功能中的通配符无效化漏洞允许非管理用户将其权限升级。 (CVE-2025-4232)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 GIMP 版本低于 3.0.4。因此，该主机受到多个漏洞的影响：

  - GIMP ICO 文件解析整数溢出远程代码执行漏洞。此漏洞可让远程攻击者在受影响的 GIMP 安装上执行任意代码。利用此漏洞需要用户交互，因为目标必须访问恶意页面或打开恶意文件。解析 ICO 文件时存在特定缺陷。造成此问题的原因是未对用户提供的数据进行正确验证从而可在写入内存之前导致整数溢出。攻击者可利用此漏洞在当前进程环境中执行代码。(CVE-2025-5473)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 14.7.4 的 14.x。因此，该应用程序会受到漏洞的影响：

  - 已通过改进检查解决此问题。(CVE-2025-43200)

请注意，Nessus 并未测试此问题，而是只依据操作系统自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 15.3.1 的 15.x。因此，该应用程序会受到漏洞的影响：

  - 已通过改进检查解决越界写入问题，从而阻止未经授权的行为。
    (CVE-2025-43200)

请注意，Nessus 并未测试此问题，而是只依据操作系统自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 13.7.4 的 13.x。因此，该应用程序会受到漏洞的影响：

  - 处理通过 iCloud Link 共享的恶意构建照片或视频时存在一个逻辑问题。
    Apple 从报告中获悉，可能已有人利用此问题，针对特定目标个人进行了极为复杂的攻击。(CVE-2025-43200)

请注意，Nessus 并未测试此问题，而是只依据操作系统自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 128.11.1。因此，该浏览器受到 mfsa2025-49 公告中提及的漏洞的影响。

  - 使用 mailbox:/// 链接的特制 HTML 电子邮件在即使禁用了自动保存功能的情况下，也可触发自动下载 .pdf 文件到用户的桌面或主目录，而无需提示。当在 HTML 模式下查看电子邮件时，可滥用此行为通过 SMB 链接以垃圾数据填满磁盘（例如使用 Linux 上的 /dev/urandom）或泄漏 Windows 凭据。虽然下载 .pdf 文件需要用户交互，但可视化混淆可隐藏下载触发程序。在 HTML 模式下查看电子邮件足以加载外部内容。(CVE-2025-5986)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 139.0.2。因此，它受到 mfsa2025-50 公告中提及的一个漏洞影响。

  - 使用 mailbox:/// 链接的特制 HTML 电子邮件在即使禁用了自动保存功能的情况下，也可触发自动下载 .pdf 文件到用户的桌面或主目录，而无需提示。当在 HTML 模式下查看电子邮件时，可滥用此行为通过 SMB 链接以垃圾数据填满磁盘（例如使用 Linux 上的 /dev/urandom）或泄漏 Windows 凭据。虽然下载 .pdf 文件需要用户交互，但可视化混淆可隐藏下载触发程序。在 HTML 模式下查看电子邮件足以加载外部内容。(CVE-2025-5986)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Microsoft Office for Mac 版本受到 june-10-2025 公告中提及的多个漏洞影响。

  - Microsoft Office 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。
    （CVE-2025-47164、CVE-2025-47953）

  - Microsoft Office Excel 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。
    (CVE-2025-47165)

  - Microsoft Office PowerPoint 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。
    (CVE-2025-47175)

  - Microsoft Office Word 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。
    （CVE-2025-47168、CVE-2025-47170）

  - Microsoft Office Word 中存在基于堆的缓冲区溢出，未经授权的攻击者可利用此漏洞在本地执行代码。(CVE-2025-47169)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Reader 版本低于 20.005.30774 或 25.001.20529。因此该软件受到多个漏洞的影响。

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版以及更早版本受到一个释放后使用漏洞的影响该漏洞可导致在当前用户的上下文中执行任意代码。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    （CVE-2025-43550、CVE-2025-43573、CVE-2025-43574、CVE-2025-43576、CVE-2025-43577）

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版以及更早版本受到一个越界写入漏洞的影响可导致在当前用户的上下文中执行任意代码。利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-43575)

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版及更低版本受到越界读取漏洞的影响可导致敏感内存泄露。攻击者可利用此漏洞来绕过 ASLR 等缓解措施。利用此问题需要用户交互，受害者必须打开恶意文件。（CVE-2025-43578、CVE-2025-47112）

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版及更早版本受到一个空指针取消引用漏洞影响可导致应用程序拒绝服务。攻击者可利用此漏洞造成应用程序崩溃，从而服务中断的情况。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-47111)

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版及更早版本受到一个信息暴露漏洞的影响可能会造成安全功能绕过。攻击者可利用此漏洞在未经授权的情况下访问敏感信息。若要利用此问题，并不需要用户交互。(CVE-2025-43579)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Acrobat 版本低于 20.005.30774、24.001.30254 或 25.001.20529。因此该软件受到多个漏洞的影响。

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版以及更早版本受到一个释放后使用漏洞的影响该漏洞可导致在当前用户的上下文中执行任意代码。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    （CVE-2025-43550、CVE-2025-43573、CVE-2025-43574、CVE-2025-43576、CVE-2025-43577）

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版以及更早版本受到一个越界写入漏洞的影响可导致在当前用户的上下文中执行任意代码。利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-43575)

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版及更低版本受到越界读取漏洞的影响可导致敏感内存泄露。攻击者可利用此漏洞来绕过 ASLR 等缓解措施。利用此问题需要用户交互，受害者必须打开恶意文件。（CVE-2025-43578、CVE-2025-47112）

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版及更早版本受到一个空指针取消引用漏洞影响可导致应用程序拒绝服务。攻击者可利用此漏洞造成应用程序崩溃，从而服务中断的情况。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-47111)

  - Acrobat Reader 24.001.30235、 20.005.30763、 25.001.20521 版及更早版本受到一个信息暴露漏洞的影响可能会造成安全功能绕过。攻击者可利用此漏洞在未经授权的情况下访问敏感信息。若要利用此问题，并不需要用户交互。(CVE-2025-43579)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 139.0.4。因此，受到 mfsa2025-47 公告中提及的多个漏洞影响。

  - JavaScript 引擎所使用的 <code>OrderedHashTable</code> 中存在整数溢出问题 (CVE-2025-49710)

  - 某些画布操作可导致内存损坏。(CVE-2025-49709)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 137.0.7151.103。因此，如公告 2025_06_stable-channel-update-for-desktop_10 所述，受到多个漏洞的影响。

  - Media 中的释放后使用漏洞。(CVE-2025-5958)

  - V8 中的类型混淆。(CVE-2025-5959)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe InDesign 版本低于 19.5.4 或 20.3.0 版本。因此，它受到 APSB25-53 公告中提及的多个漏洞影响。

  - InDesign Desktop ID20.2, ID19.5.3 以及更早版本会受到越界写入漏洞影响，导致攻击者可在当前用户的上下文中执行任意代码。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    （CVE-2025-43558、CVE-2025-43590、CVE-2025-43593）

  - InDesign Desktop ID20.2, ID19.5.3 以及更低版本均受到基于堆的缓冲区溢出漏洞影响，此漏洞可导致在当前用户环境中发生任意代码执行情况。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    (CVE-2025-30317)

  - InDesign Desktop ID20.2, ID19.5.3 以及更早版本均会受到释放后使用漏洞的影响，此漏洞可导致在当前用户环境中发生任意代码执行情况。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-43589)

  - InDesign Desktop ID20.2, ID19.5.3 以及更低版本均受到越界读取漏洞影响，此漏洞可导致敏感内存信息遭泄露。攻击者可利用此漏洞来绕过 ASLR 等缓解措施。利用此问题需要用户交互，受害者必须打开恶意文件。（CVE-2025-47104、CVE-2025-47105）

  - InDesign Desktop ID20.2, ID19.5.3 以及更低版本受到空指针解引用漏洞的影响，此漏洞可能造成应用程序拒绝服务 (DoS)。攻击者可利用此漏洞造成应用程序崩溃，从而服务中断的情况。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-30321)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 4.2.12。因此，该主机受到 wireshark-4.2.12 公告中提及的一个漏洞影响。

  - Wireshark 4.4.0 至 4.4.6 和 4.2.0 至 4.2.12 版本的 DNP 分析器中存在列处理崩溃，攻击者可利用此漏洞通过注入数据包或构建的捕获文件造成拒绝服务 (CVE-2025-5601)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 137.0.7151.68。因此，如公告 2025_06_stable-channel-update-for-desktop 所述，受到多个漏洞的影响。

  - 在 Google Chrome 137.0.7151.68 之前版本中，Blink 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面来利用堆损坏。（Chromium 安全严重性：中）(CVE-2025-5068)

  - Google Chrome 137.0.7151.68 之前版本的 V8 中存在越界读取和写入漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。（Chromium 安全严重性：高）(CVE-2025-5419)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装了 Srimax Output Messenger。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 128.11。因此，该应用程序受到 mfsa2025-46 公告中提及的多个漏洞的影响。

  - Firefox ESR 128.10 和 Thunderbird 128.10 中存在内存安全缺陷。此错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用此错误运行任意代码。(CVE-2025-5269)

  - 当初始化 WebRTC 的编码器时，分配失败后，“vpxcodecencinitmulti”中可能发生双重释放。此问题可能导致内存损坏和潜在可利用的崩溃。
    (CVE-2025-5262)

  - 用于脚本执行的错误处理未正确与 Web 内容隔离，这可能允许跨源泄漏攻击。(CVE-2025-5263)

  - 由于作为 cURL 功能的副本中换行符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。
    (CVE-2025-5264)

  - 由于作为 cURL 功能的副本中“&”字符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。
    此错误仅影响 Windows 版 Firefox。其他版本的 Firefox 不受影响。(CVE-2025-5265)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 139.0。因此，该应用程序受到 mfsa2025-45 公告中提及的多个漏洞的影响。

  - 在某些情况下，即使启用了加密 DNS，仍可发送未加密的 SNI。
    (CVE-2025-5270)

  - 当初始化 WebRTC 的编码器时，分配失败后，“vpxcodecencinitmulti”中可能发生双重释放。此问题可能导致内存损坏和潜在可利用的崩溃。
    (CVE-2025-5262)

  - 用于脚本执行的错误处理未正确与 Web 内容隔离，这可能允许跨源泄漏攻击。(CVE-2025-5263)

  - 由于作为 cURL 功能的副本中换行符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。
    (CVE-2025-5264)

  - 由于作为 cURL 功能的副本中“&”字符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。
    此错误仅影响 Windows 版 Firefox。其他版本的 Firefox 不受影响。(CVE-2025-5265)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 137.0.7151.55。因此，它受到 2025_05_stable-channel-update-for-desktop_27 公告中提及的多个漏洞影响。

  - Google Chrome 137.0.7151.55 之前版本的 libvpx 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面造成堆损坏。（Chromium 安全严重性：中）(CVE-2025-5283)

  - Google Chrome 137.0.7151.55 之前版本中的 V8 中的越界写入允许远程攻击者通过构建的 HTML 页面潜在地利用堆损坏。（Chromium 安全严重性：高）(CVE-2025-5280)

  - Google Chrome 137.0.7151.55 之前版本的 Compositing 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）(CVE-2025-5063)

  - 在 Google Chrome 137.0.7151.55 之前版本中，Background Fetch API 的不当实现漏洞允许远程攻击者通过构建的 HTML 页面泄露跨源数据。（Chromium 安全严重性：中）(CVE-2025-5064)

  - 在 Google Chrome 137.0.7151.55 之前版本中，FileSystemAccess API 中的不当实现漏洞允许远程攻击者通过构建的 HTML 页面发动 UI 欺骗攻击。（Chromium 安全严重性：中）(CVE-2025-5065)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 115.24。因此，该应用程序受到 mfsa2025-43 公告中提及的多个漏洞的影响。

  - 当初始化 WebRTC 的编码器时，分配失败后，“vpxcodecencinitmulti”中可能发生双重释放。此问题可能导致内存损坏和潜在可利用的崩溃。
    (CVE-2025-5283)

  - 用于脚本执行的错误处理未正确与 Web 内容隔离，这可能允许跨源泄漏攻击。(CVE-2025-5263)

  - 由于作为 cURL 功能的副本中换行符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。
    (CVE-2025-5264)

  - 由于作为 cURL 功能的副本中“&”字符的转义不充分，攻击者可以诱骗用户使用此命令，从而可能导致在用户系统上执行本地代码。
    此错误仅影响 Windows 版 Firefox。其他版本的 Firefox 不受影响。(CVE-2025-5265)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
242581	Mozilla Thunderbird < 128.13	high
242579	Mozilla Thunderbird < 141.0	high
242570	Mozilla Thunderbird < 140.1	high
242568	Google Chrome < 138.0.7204.168 多个漏洞	high
242560	Mozilla Firefox ESR < 115.26	critical
242558	Mozilla Firefox ESR < 140.1	critical
242556	Mozilla Firefox < 141.0	critical
242553	Mozilla Firefox ESR < 128.13	critical
242171	Microsoft Office 产品的安全更新2025 年 7 月(macOS)	high
242123	Google Chrome < 138.0.7204.157 多个漏洞	high
242119	Zoom Workplace < 6.4.5 漏洞 (ZSB-25027)	medium
242111	安装了 Cisco Secure Endpoint Connector (macOS)	info
241974	HashiCorp Vagrant 2.2.10 < 2.4.7 代码注入 (macOS)	medium
241973	安装了 HashiCorp Vagrant (macOS)	info
241586	Adobe Dimension < 4.1.3 多个漏洞 (APSB25-63) (macOS)	high
241584	Adobe InDesign < 19.5.4 / 20.0 < 20.4.0 多个任意代码执行漏洞 (APSB25-60) (macOS)	high
241581	Adobe Illustrator < 28.7.8/29.0.0 < 29.6.0 多个漏洞 (APSB25-65) (macOS)	high
241579	Adobe Audition < 24.6.7 / 25.0 < 25.3 应用程序拒绝服务 (APSB25-56) (macOS)	medium
241576	Adobe After Effects < 24.6.7 / 25.0 < 25.3 多个漏洞 (APSB25-49) (macOS)	medium
241213	Mozilla Thunderbird < 128.12	critical
241210	Mozilla Thunderbird < 140.0	critical
240978	Google Chrome < 138.0.7204.92 漏洞	high
240741	GStreamer < 1.26.2 多个漏洞 (macOS)	medium
240740	已安装 GStreamer (macOS)	info
240340	Google Chrome < 138.0.7204.49 多个漏洞	critical
240337	Mozilla Firefox ESR < 115.25	critical
240336	Mozilla Firefox ESR < 128.12	critical
240333	Mozilla Firefox < 140.0	critical
240281	Palo Alto GlobalProtect App MacOS 6.x < 6.2.8-h2 / 6.3.x < 6.3.3-650 访问控制不当 (CVE-2025-4227)	low
240119	Google Chrome < 137.0.7151.119 多个漏洞	critical
238432	Palo Alto GlobalProtect App MacOS 6.x < 6.2.8-h2 / 6.3.x < 6.3.3 权限升级 (CVE-2025-4232)	high
238428	GIMP < 3.0.4 RCE (macOS)	high
238308	macOS 14.x < 14.7.4 (122901)	critical
238307	macOS 15.x < 15.3.1 (122900)	critical
238306	macOS 13.x < 13.7.4 (122902)	high
238108	Mozilla Thunderbird < 128.11.1	medium
238106	Mozilla Thunderbird < 139.0.2	medium
238100	Microsoft Office 产品的安全更新（2025 年 6 月）(macOS)	high
238099	Adobe Reader < 20.005.30774/25.001.20529 多个漏洞 (APSB25-57) (macOS)	high
238097	Adobe Acrobat < 20.005.30774 / 24.001.30254 / 25.001.20529 多个漏洞 (APSB25-57) (macOS)	high
238071	Mozilla Firefox < 139.0.4	critical
238070	Google Chrome < 137.0.7151.103 多个漏洞	critical
238055	Adobe InDesign < 19.5.4 / 20.0 < 20.3.0 多个漏洞 (APSB25-53) (macOS)	high
237767	Wireshark 4.2.x < 4.2.12 一个漏洞 (macOS)	high
237660	Google Chrome < 137.0.7151.68 多个漏洞	high
237653	安装了 Srimax Output Messenger (macOS)	info
237387	Mozilla Thunderbird < 128.11	medium
237386	Mozilla Thunderbird < 139.0	high
237343	Google Chrome < 137.0.7151.55 多个漏洞	high
237301	Mozilla Firefox ESR < 115.24	medium

检测

Nessus 的 MacOS X Local Security Checks 系列

high

high

high

high

critical

critical

critical

critical

high

high

medium

info

medium

info

high

high

high

medium

medium

critical

critical

high

medium

info

critical

critical

critical

critical

low

critical

high

high

critical

critical

high

medium

medium

high

high

high

critical

critical

high

high

high

info

medium

high

high

medium