远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 52.1。因此受到公告 mfsa2017-12 中提及的多个漏洞的影响。

  - 修复了 Flex 中的 [CVE-2016-6354](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6354) 问题导致的在生成的 Firefox 代码中潜在的缓冲区溢出问题。
    (CVE-2017-5469)

  - 当将仍在使用的数组中的动画元素指针从动画控制器中丢弃时在 SMIL 动画函数中出现释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2017-5433)

  - 在设计模式交互期间在编辑器中进行事务处理期间出现释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2017-5435)

  - 恶意构造的 Graphite 字体可触发 Graphite 2 库中的越界写入错误。这会导致潜在可利用的崩溃。已在 Graphite 2 库和 Mozilla 产品中修复此问题。 (CVE-2017-5436)

  - 在网络安全服务 (NSS) 库中的 Base64 解码操作期间由于分配给缓冲区的内存不足导致越界写入。这会导致潜在可利用的崩溃。NSS 库已更新以修复此问题并解决了此问题并使用 NSS 版本 [ 52.1 更新 Firefox ESR  3.28.4。 (CVE-2017-5461)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 52.5。因此，该应用程序受到 mfsa2017-26 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Christian Holler、David Keeler、Jon Coppeard、Julien Cristau、Jan de Mooij、Jason Kratzer、Philipp、Nicholas Nethercote、Oriol Brufau、Andr Bargull、Bob Clary、Jet Villegas、Randell Jesup、Tyson Smith、Gary Kwong 和 Ryan VanderMeulen 报告 Firefox 56、Firefox ESR 52.4 和 Thunderbird 52.4 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2017-7826)

  - 刷新和调整布局大小时出现释放后使用漏洞，原因在于 <code>PressShell</code> 对象在仍然使用时已经释放。这会导致在此类操作中造成潜在可利用的崩溃。(CVE-2017-7828)

  - Resource Timing API 错误显示了跨源 iframe 中的导航。这是同源策略违规，可能导致用户加载的 URL 数据遭窃。(CVE-2017-7830)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 78.3。因此受到公告 mfsa2020-44 中提及的多个漏洞的影响。

  - 在滚动过程中递归图形层时，迭代器可能会无效，从而导致潜在的释放后使用。发生此问题的原因是函数 <code>APZCTreeManager::ComputeClippedCompositionBounds</code> 未遵循迭代器无效规则。
    (CVE-2020-15678)

  - 通过利用网站上的开放重定向漏洞，攻击者可以伪造下载文件对话框中显示的站点，以显示原始站点（遭受开放重定向的站点），而不是实际下载文件的站点。(CVE-2020-15677)

  - Thunderbird 有时会针对 DOM 审查器决定删除的 SVG 元素运行 onload 处理程序从而导致将攻击者控制的数据粘贴到可内容编辑的元素中之后执行 JavaScript。 (CVE-2020-15676)

  - Mozilla 开发人员 Jason Kratzer 报告了 Thunderbird 中存在的内存安全缺陷 78.2。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-15673)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 140.4。因此，该应用程序受到 mfsa2025-85 公告中提及的多个漏洞的影响。

  - Firefox ESR 140.3、Thunderbird ESR 140.3、Firefox 143 和 Thunderbird 143 中存在内存安全错误。
    其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-11715)

  - 使用恶意 IPC 消息的遭入侵 Web 进程可造成特权浏览器进程向受入侵进程泄露其内存块。(CVE-2025-11710)

  - MediaTrackGraphImpl::GetInstance() 中存在释放后使用漏洞 (CVE-2025-11708)

  - 遭入侵的 Web 进程能够使用受控的 WebGL 纹理，在权限更高的进程中触发越界读取和写入。(CVE-2025-11709)

  - 过去可以更改本应不可写入的 JavaScript 对象属性的值。(CVE-2025-11711)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 68.6。因此如公告 mfsa2020-10 所述受到多个漏洞的影响。

  - Mozilla 开发人员 Byron Campen、Jason Kratzer 和 Christian Holler 报告Thunderbird 中存在内存安全缺陷 68.5。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-6814)

  - 删除选项卡最近被关闭的来源的相关数据时配额管理器中可能发生释放后使用进而导致潜在可利用的崩溃。 (CVE-2020-6805)

  - 通过精心构建 promise 解析，可于脚本执行期间，在大小经过调整的数组末端造成越界读取。这可能导致内存损坏和潜在的可利用崩溃。(CVE-2020-6806)

  - 如果在流将要破坏时更改设备则可能在流破坏后执行 <code>stream-reinit</code> 任务造成释放后使用和潜在可利用的崩溃。 (CVE-2020-6807)

  - Devtools 网络选项卡的“复制为 cURL”功能未正确转义可由网站控制的请求的 HTTP 方法。如果用户使用“复制为 Curl”功能并将命令粘贴到终端中，可能导致命令注入和任意命令执行。
    (CVE-2020-6811)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 60.0.2。因此如公告 mfsa2018-14 所述受到一个漏洞的影响。

  - 在关闭消除锯齿的情况下使用恶意构建的 SVG 文件栅格化路径时Skia 库中可能发生堆缓冲区溢出。这会导致潜在可利用的崩溃。 (CVE-2018-6126)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 52.4。因此，该应用程序受到 mfsa2017-23 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Christoph Diehl、Jan de Mooij、Jason Kratzer、Randell Jesup、Tom Ritter、Tyson Smith 和 Sebastian Hengst 报告 Firefox 55、Firefox ESR 52.3 和 Thunderbird 52.3 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2017-7810)

  - 以用于 WebGL 内容的 ANGLE 图库绘制及验证元素时，会发生缓冲区出情况。这是由于在检查期间在库内传递不正确的值所致，并导致潜在可利用的崩溃。(CVE-2017-7824)

  - 当工作进程或相关窗口在仍使用时遭到释放，Fetch API 中会发生释放后使用漏洞，导致潜在的可利用崩溃。(CVE-2017-7793)

  - 当通过 DOM 在容器内操纵可访问富互联网应用程序 (ARIA) 元素的数组时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2017-7818)

  - 当调整图像对象大小时，如果调整大小期间引用的对象已经从内存中释放，则在设计模式中可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。(CVE-2017-7819)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 68.10.1。因此如公告 mfsa2020-27 所述受到一个漏洞的影响。

  - Firefox for Android 中的一个内容提供程序允许远程网页读取浏览器可访问的本地文件从而导致敏感数据泄露包括其他来源的 Cookie。
    (CVE-2020-15647)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 52.3。因此，该应用程序受到 mfsa2017-19 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Masayuki Nakano、Gary Kwong、Ronald Crane、Andrew McCreight、Tyson Smith、Bevis Tseng、Christian Holler、Bryce Van Dyk、Dragana Damjanovic、Kartikaya Gupta、Philipp、Tristan Bourvon 和 Andi-Bogdan Postelnicu 报告 Firefox 54 和 Firefox ESR 52.2 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2017-7779)

  - 当在树遍历期间过早删除编辑器 DOM 节点，并且仍然与文件绑定时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2017-7809)

  - 开发人员工具功能受到 XUL 注入漏洞影响，原因在于不当清理 Web 页面源代码。在最糟糕的情况下，当打开带有样式编辑器工具的恶意页面时，可允许任意代码执行。(CVE-2017-7798)

  - 当保持连接的对象在断开连接操作完成前释放，在 WebSockets 中可能出现释放后使用漏洞。这会导致可利用的崩溃。(CVE-2017-7800)

  - 当更新的样式对象在仍使用时遭到释放，在窗口调整大小期间，重新计算 <code>marquee</code> 元素的布局时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。(CVE-2017-7801)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 60.2.2。因此受到公告 mfsa2018-24 中提及的多个漏洞的影响。

  - JavaScript JIT 编译器使用多个参数内联 Array.prototype.push 时存在漏洞造成堆栈指针在 bailout 后偏离 8 个字节。这会泄露调用函数的内存地址，并可用于沙箱型内容进程内可利用的一部分。
    (CVE-2018-12387)

  - JavaScript 中的寄存器分配漏洞可导致类型混淆允许任意读取和写入。这会导致在触发时，沙箱型内容进程内的远程代码执行。
    (CVE-2018-12386)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 62.0。因此如公告 mfsa2018-20 所述受到多个漏洞的影响。

  - 提供待储存负载值的 JavaScript 代码使用中的 IndexedDB 索引被删除时，可能会发生释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2018-12378)

  - 关机时，若在某些情况下重新整理了重新整理驱动程序定时器，可能会发生释放后使用漏洞，这是因为定时器在使用中状态下遭到删除所致。这会导致潜在可利用的崩溃。 (CVE-2018-12377)

  - 在页面上使用 <code><meta> meta http-equiv=refresh</code> 时同源策略违规可能会造成跨源 URL 条目遭窃进而导致重定向到使用 <code>performance.getEntries() 的另一个站点</code>。这是同源策略违规并且可允许数据窃取。 (CVE-2018-18499)

  - Mozilla Updater 开启含有超长项目文件名的 MAR 格式文件时，可能会触发超出边界写入，进而导致可能遭到恶意利用的损毁。需在含有恶意 MAR 文件的本机系统上手动执行 Mozilla Updater 才会发生此状况。
    (CVE-2018-12379)

  - 用含有 autofs 的 automount 功能可绕过浏览器 Proxy 设定进而可在本机文件系统上建立一个装载点。可使用 <code>file:</code> URI 直接从此已挂载的文件系统加载内容绕过已配置的代理设置。注意此问题仅影响默认配置中的 OS X。在 Linux 系统上必须安装 autofs 才会出现此漏洞但 Windows 不受影响。 (CVE-2017-16541)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 58.0。因此，该应用程序受到 mfsa2018-02 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Calixte Denizet、Christian Holler、Alex Gaynor、Yoshi Huang、Bob Clary、Nils Ohlmeier、Jason Kratzer、Jesse Ruderman、Philipp、Mike Tyler、Marcia Knous、Paul Adenot、Randell Jesup、JW Wang、Tyson Smith Emilio Cobos lvarez、Ted Campbell、Stephen Feder、Tristan Bourvon 和 Jet Villegas 报告 Firefox 57 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2018-5090)

  - 在 WebCrypto 的 <code>DoCrypt</code> 函数中发现潜在整数溢出漏洞。如果发现可利用此漏洞的方法，或可导致越界写入。(CVE-2018-5122)

  - 当与 DTMF 计时器交互时，WebRTC 连接期间可能发生释放后使用漏洞。
    这会导致潜在可利用的崩溃。(CVE-2018-5091)

  - 在取消提取操作期间，如果 Web 工作线程未在主线程内存中被释放，而是过早地从内存中释放，则可能发生释放后使用漏洞。(CVE-2018-5092)

  - 在调整内存/表格大小期间，WebAssembly 中可能发生堆缓冲区溢出漏洞，从而导致潜在可利用的崩溃 (CVE-2018-5093)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 51.0.3。因此，该应用程序受到 mfsa2017-04 公告中提及的漏洞的影响。

  - 本地文件系统上的缓存目录设置为全局可写。Firefox 默认从此缓存中提取库。因此，已安装的对文件系统具有写入访问权限的恶意应用程序或工具，可能会使用自有版本替换 Firefox 使用的文件。
    (CVE-2017-5397)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 91.1。因此，如公告 mfsa2021-41 所述，受到多个漏洞的影响。

  - Mozilla 开发人员 Tyson Smith、Christian Holler 和 Gabriele Svelto 报告 Thunderbird 78.13.0 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2021-38495)

  - 当将导航委派给操作系统时，Thunderbird 会接受“mk”方案，这可允许攻击者在 Internet Explorer 中以非特权模式启动页面和执行脚本。此错误仅影响 Windows 版 Thunderbird。其他操作系统不受影响。(CVE-2021-38492)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 56.0。因此，该应用程序受到 mfsa2017-21 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Christian Holler、Jason Kratzer、Tobias Schneider、Tyson Smith、David Keeler、Nicolas B. Pierron、Mike Hommey、Ronald Crane、Tooru Fujisawa 和 Philipp 报告 Firefox 55 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2017-7811)

  - 以用于 WebGL 内容的 ANGLE 图库绘制及验证元素时，会发生缓冲区出情况。这是由于在检查期间在库内传递不正确的值所致，并导致潜在可利用的崩溃。(CVE-2017-7824)

  - 当工作进程或相关窗口在仍使用时遭到释放，Fetch API 中会发生释放后使用漏洞，导致潜在的可利用崩溃。(CVE-2017-7793)

  - 当页面切换到全屏模式而没有通知用户时，可发生欺骗漏洞，从而显示虚假的地址栏。这允许攻击者仿冒实际加载并使用的页面。注意: 此攻击仅影响 Android 版 Firefox。其他操作系统不受影响。(CVE-2017-7817)

  - 当通过 DOM 在容器内操纵可访问富互联网应用程序 (ARIA) 元素的数组时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2017-7818)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 52.3。因此，该应用程序受到 mfsa2017-20 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Masayuki Nakano、Gary Kwong、Ronald Crane、Andrew McCreight、Tyson Smith、Bevis Tseng、Christian Holler、Bryce Van Dyk、Dragana Damjanovic、Kartikaya Gupta、Philipp、Tristan Bourvon 和 Andi-Bogdan Postelnicu 报告 Firefox 54、Firefox ESR 52.2 和 Thunderbird 52.2 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2017-7779)

  - 当在树遍历期间过早删除编辑器 DOM 节点，并且仍然与文件绑定时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2017-7809)

  - 当保持连接的对象在断开连接操作完成前释放，在 WebSockets 中可能出现释放后使用漏洞。这会导致可利用的崩溃。(CVE-2017-7800)

  - 当更新的样式对象在仍使用时遭到释放，在窗口调整大小期间，重新计算 <code>marquee</code> 元素的布局时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。(CVE-2017-7801)

  - 在已经释放观察者后，在帧重建期间，当读取图像观察者时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。(CVE-2017-7784)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 45.8。因此，该应用程序受到 mfsa2017-06 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Boris Zbarsky、Christian Holler、Honza Bambas、Jon Coppeard、Randell Jesup、Andr Bargull、Kan-Ru Chen 和 Nathan Froyd 报告 Firefox 51 和 Firefox ESR 45.7 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2017-5398)

  - 由于增量清理内存的管理方式出现错误，内存损坏可能会在 JavaScript 的垃圾回收期间引起可遭利用的崩溃。(CVE-2017-5410)

  - 瞄准 asm.js 的 JIT 喷射连同堆喷溅，允许绕过 ASLR 和 DEP 保护，造成潜在的内存损坏攻击。(CVE-2017-5400)

  - 由网页内容触发的崩溃，其中由于逻辑错误导致 <code>ErrorResult</code> 引用未分配内存。所引起的崩溃可能会遭到利用。(CVE-2017-5401)

  - 在处理字体时，若已破坏 <code>FontFace</code> 对象，其后又触发该对象的事件，会引发释放后使用错误。这会导致潜在可利用的崩溃。
    (CVE-2017-5402)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 67.0.2。因此，如公告 mfsa2019-16 所述，受到一个漏洞的影响。

  - 若用户在系统提示时获准执行则使用与 Internet Explorer 相关协议的超链接如 <code>IE.HTTP:</code>可用来打开位于 Internet Explorer 中已知位置的本地文件。
    注意：此问题只在 Windows 上发生。其他操作系统不受影响。(CVE-2019-11702)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 52.9。因此如公告 mfsa2018-17 所述受到多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Alex Gaynor、Christoph Diehl、Christian Holler、Jason Kratzer、David major、Jon Coppeard、Nicolas B. Pierron、Jason Kratzer、Marcia Knous 和 Ronald Crane 报告 Firefox 60、Firefox ESR 60 中存在内存安全错误和 Firefox ESR 52.8。有迹象表明其中某些缺陷可导致内存损坏我们推测若攻击者有意操控就能利用其中部分缺陷来运行任意代码。 (CVE-2018-5188)

  - Windows 10 打开扩展为 <code>settingContent-ms</code> 的可执行文件之前也不警告用户即使这些文件已从 Internet 下载并带有 web 标记。如果没有警告，不熟悉这种新文件类型、没有防备的用户可能会运行不需要的可执行文件。这还允许具有有限 <code>downloads.open</code> 权限的 WebExtension在 Windows 10 系统上执行任意代码而无需用户交互。 注意此问题仅影响 Windows 操作系统。其他操作系统不受影响。(CVE-2018-12368)

  - 在动态调整 <code><canvas></code> 元素的高度和宽度的同时渲染画布内容时可能发生缓冲区溢出从而导致在当前计算的边界之外写入数据。这会导致潜在可利用的崩溃。 (CVE-2018-12359)

  - 由聚焦于该元素触发的变动事件处理程序期间当删除 <code>输入</code> 元素时可出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2018-12360)

  - 在 Supplemental Streaming SIMD Extensions 3 (SSSE3) 定标器完成的图形操作期间出现整数溢出造成潜在可利用崩溃。 (CVE-2018-12362)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 60.0。因此如公告 mfsa2018-19 所述受到多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Alex Gaynor、Christoph Diehl、Christian Holler、Jason Kratzer、David major、Jon Coppeard、Nicolas B. Pierron、Jason Kratzer、Marcia Knous 和 Ronald Crane 报告 Firefox 60、Firefox ESR 60 中存在内存安全错误和 Firefox ESR 52.8。有迹象表明其中某些缺陷可导致内存损坏我们推测若攻击者有意操控就能利用其中部分缺陷来运行任意代码。 (CVE-2018-5188)

  - Windows 10 打开扩展为 <code>settingContent-ms</code> 的可执行文件之前也不警告用户即使这些文件已从 Internet 下载并带有 web 标记。如果没有警告，不熟悉这种新文件类型、没有防备的用户可能会运行不需要的可执行文件。这还允许具有有限 <code>downloads.open</code> 权限的 WebExtension在 Windows 10 系统上执行任意代码而无需用户交互。 注意此问题仅影响 Windows 操作系统。其他操作系统不受影响。(CVE-2018-12368)

  - 在动态调整 <code><canvas></code> 元素的高度和宽度的同时渲染画布内容时可能发生缓冲区溢出从而导致在当前计算的边界之外写入数据。这会导致潜在可利用的崩溃。 (CVE-2018-12359)

  - 由聚焦于该元素触发的变动事件处理程序期间当删除 <code>输入</code> 元素时可出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2018-12360)

  - 计算缓冲区大小时 <code>SwizzleData</code> 代码中可能发生整数溢出。溢出的值会在后续的图形计算的输入未经过清理时用于后续的图形计算造成潜在可利用的崩溃。 (CVE-2018-12361)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 52.7。因此如公告 mfsa2018-09 所述受到多个漏洞的影响。

  - Mozilla 开发人员 Jet Villegas 和 Randell Jesup 报告了 Firefox ESR 52.6 和 Thunderbird 中存在的内存安全缺陷 52.6。这些缺陷可导致内存损坏我们推测若攻击者有意操控就能利用其中部分缺陷来运行任意代码。 (CVE-2018-5145)

  - 通过脚本操控 SVG <code>animatedPathSegList</code> 时可能发生缓冲区溢出。
    这会导致潜在可利用的崩溃。 (CVE-2018-5127)

  - IPC 消息缺少参数验证可能会通过格式错误的 IPC 消息造成潜在越界写入。这样可能允许通过父进程中的内存损坏逃逸沙盒。 (CVE-2018-5129)

  - 在将文本转化为一些 Unicode 字符集期间可能发生整数溢出原因在于未检查长度参数。 (CVE-2018-5144)

  - 报告通过 Pwn2Own 竞赛处理 Vorbis 音频数据时存在的越界内存写入错误。
    (CVE-2018-5146)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 60.3。因此受到公告 mfsa2018-28 中提及的多个漏洞的影响。

  - 在通过脚本打开文档的过程中操纵嵌套循环中的用户事件时由于事件处理不当可能会触发可遭利用的崩溃。 (CVE-2018-12392)

  - 在适用于 Android 的 Firefox 上进行 HTTP 直播流重放期间，可能会违反安全策略跨源访问音频数据。由于问题存在于底层 Android 服务因此可通过将所有 HLS 流处理为跨源且不透明处理来解决此问题。注意此问题仅影响 Android 版 Firefox。Firefox 的桌面版本不受影响。 (CVE-2018-12391)

  - 在 32 位版本中发现一个潜在漏洞即在将脚本转换为内部 UTF-16 表示期间整数溢出可导致分配缓冲区较小无法进行转换。此漏洞可导致越界写入。注意64 位版本不会受到此问题影响。 (CVE-2018-12393)

  - Mozilla 开发人员和社区成员 Daniel Veditz 和 Philipp 报告 Firefox ESR 中存在内存安全缺陷 60.2。有迹象表明其中某些缺陷可导致内存损坏我们推测若攻击者有意操控就能利用其中部分缺陷来运行任意代码。 (CVE-2018-12389)

  - Mozilla 开发人员和社区成员 Christian Holler、Bob Owen、Boris Zbarsky、Calixte Denizet、Jason Kratzer、Jed Davis、Taegeon Lee、Philipp、Ronald Crane、Raul Gurzau、Gary Kwong、Tyson Smith、Raymond Forbes 和 Bogdan Tara 报告了内存安全Firefox 62 和 Firefox ESR 中存在的缺陷 60.2。有迹象表明其中某些缺陷可导致内存损坏我们推测若攻击者有意操控就能利用其中部分缺陷来运行任意代码。 (CVE-2018-12390)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 52.9。因此如公告 mfsa2018-18 所述受到多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Alex Gaynor、Christoph Diehl、Christian Holler、Jason Kratzer、David major、Jon Coppeard、Nicolas B. Pierron、Jason Kratzer、Marcia Knous 和 Ronald Crane 报告 Firefox 60、Firefox ESR 60 中存在内存安全错误、Firefox ESR 52.8和 Thunderbird 52.8。有迹象表明其中某些缺陷可导致内存损坏我们推测若攻击者有意操控就能利用其中部分缺陷来运行任意代码。 (CVE-2018-5188)

  - Windows 10 打开扩展为 <code>settingContent-ms</code> 的可执行文件之前也不警告用户即使这些文件已从 Internet 下载并带有 web 标记。如果没有警告，不熟悉这种新文件类型、没有防备的用户可能会运行不需要的可执行文件。这还允许具有有限 <code>downloads.open</code> 权限的 WebExtension在 Windows 10 系统上执行任意代码而无需用户交互。 注意此问题仅影响 Windows 操作系统。其他操作系统不受影响。(CVE-2018-12368)

  - 在动态调整 <code><canvas></code> 元素的高度和宽度的同时渲染画布内容时可能发生缓冲区溢出从而导致在当前计算的边界之外写入数据。这会导致潜在可利用的崩溃。 (CVE-2018-12359)

  - 由聚焦于该元素触发的变动事件处理程序期间当删除 <code>输入</code> 元素时可出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2018-12360)

  - 解密的 S/MIME 部分如果包含在针对攻击的构建的 HTML 中如果包含在 HTML 回复/转发中可能泄漏明文。 (CVE-2018-12372)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 52.8。因此如公告 mfsa2018-13 所述受到多个漏洞的影响。

  - Mozilla 开发人员向后移植了 Skia 库中的所选更改。这些变更修正内存损坏问题包括图形操作期间无效的缓冲区读取和写入。 (CVE-2018-5183)

  - 使用加密消息中的远程内容可导致明文泄露。 (CVE-2018-5184)

  - 在带有裁剪路径的 SVG 动画期间当枚举属性时会发生释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2018-5154)

  - 在带有文本路径的 SVG 动画期间调整布局时会出现释放后使用漏洞。
    这会导致潜在可利用的崩溃。 (CVE-2018-5155)

  - 在 Skia 库中可能出现整数溢出原因在于未检查整数溢出而在数组中使用 32 位整数可能造成越界写入。这可能导致可被 Web 内容触发的潜在可利用崩溃。 (CVE-2018-5159)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 63.0。因此受到公告 mfsa2018-26 中提及的多个漏洞的影响。

  - 在通过脚本打开文档的过程中操纵嵌套循环中的用户事件时由于事件处理不当可能会触发可遭利用的崩溃。 (CVE-2018-12392)

  - 在适用于 Android 的 Firefox 上进行 HTTP 直播流重放期间，可能会违反安全策略跨源访问音频数据。由于问题存在于底层 Android 服务因此可通过将所有 HLS 流处理为跨源且不透明处理来解决此问题。注意此问题仅影响 Android 版 Firefox。Firefox 的桌面版本不受影响。 (CVE-2018-12391)

  - 在 32 位版本中发现一个潜在漏洞即在将脚本转换为内部 UTF-16 表示期间整数溢出可导致分配缓冲区较小无法进行转换。此漏洞可导致越界写入。注意64 位版本不会受到此问题影响。 (CVE-2018-12393)

  - 通过使用 <code><code>webRequest</code> API 重写 [] Host</code> 请求标头WebExtension 可以通过域前端绕过域限制。这将允许访问共享主机的域，否则这些域将受到限制。 (CVE-2018-12395)

  - 在以下导航或其他事件的禁用环境下存在 WebExtension 可运行内容脚本漏洞。这允许通过不应运行内容脚本的站点上的 WebExtension 进行潜在的权限升级。 (CVE-2018-12396)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 52.1。因此受到公告 mfsa2017-13 中提及的多个漏洞的影响。

  - 修复了 Flex 中的 [CVE-2016-6354](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6354) 问题导致的在生成的 Firefox 代码中潜在的缓冲区溢出问题。
    (CVE-2017-5469)

  - 当将仍在使用的数组中的动画元素指针从动画控制器中丢弃时在 SMIL 动画函数中出现释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2017-5433)

  - 在设计模式交互期间在编辑器中进行事务处理期间出现释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2017-5435)

  - 恶意构造的 Graphite 字体可触发 Graphite 2 库中的越界写入错误。这会导致潜在可利用的崩溃。已在 Graphite 2 库和 Mozilla 产品中修复该问题。 (CVE-2017-5436)

  - 在网络安全服务 (NSS) 库中的 Base64 解码操作期间由于分配给缓冲区的内存不足导致越界写入。这会导致潜在可利用的崩溃。NSS 库已更新以修复此问题并解决了此问题并使用 NSS 版本 [ 52.1 更新 Firefox ESR  3.28.4。 (CVE-2017-5461)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 60.3。因此受到公告 mfsa2018-27 中提及的多个漏洞的影响。

  - 在通过脚本打开文档的过程中操纵嵌套循环中的用户事件时由于事件处理不当可能会触发可遭利用的崩溃。 (CVE-2018-12392)

  - 在适用于 Android 的 Firefox 上进行 HTTP 直播流重放期间，可能会违反安全策略跨源访问音频数据。由于问题存在于底层 Android 服务因此可通过将所有 HLS 流处理为跨源且不透明处理来解决此问题。注意此问题仅影响 Android 版 Firefox。Firefox 的桌面版本不受影响。 (CVE-2018-12391)

  - 在 32 位版本中发现一个潜在漏洞即在将脚本转换为内部 UTF-16 表示期间整数溢出可导致分配缓冲区较小无法进行转换。此漏洞可导致越界写入。注意64 位版本不会受到此问题影响。 (CVE-2018-12393)

  - 通过使用 <code><code>webRequest</code> API 重写 [] Host</code> 请求标头WebExtension 可以通过域前端绕过域限制。这将允许访问共享主机的域，否则这些域将受到限制。 (CVE-2018-12395)

  - 在以下导航或其他事件的禁用环境下存在 WebExtension 可运行内容脚本漏洞。这允许通过不应运行内容脚本的站点上的 WebExtension 进行潜在的权限升级。 (CVE-2018-12396)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 55.0。因此，该应用程序受到 mfsa2017-18 公告中提及的多个漏洞影响。

  - Mozilla 开发人员和社区成员 Masayuki Nakano、Gary Kwong、Ronald Crane、Andrew McCreight、Tyson Smith、Bevis Tseng、Christian Holler、Bryce Van Dyk、Dragana Damjanovic、Kartikaya Gupta、Philipp、Tristan Bourvon 和 Andi-Bogdan Postelnicu 报告 Firefox 54 和 Firefox ESR 52.2 中存在内存安全缺陷。有迹象表明其中某些错误可导致内存损坏，我们推测若攻击者有意操控，就能利用其中部分错误来运行任意代码。(CVE-2017-7779)

  - 当在树遍历期间过早删除编辑器 DOM 节点，并且仍然与文件绑定时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。
    (CVE-2017-7809)

  - 开发人员工具功能受到 XUL 注入漏洞影响，原因在于不当清理 Web 页面源代码。在最糟糕的情况下，当打开带有样式编辑器工具的恶意页面时，可允许任意代码执行。(CVE-2017-7798)

  - 当保持连接的对象在断开连接操作完成前释放，在 WebSockets 中可能出现释放后使用漏洞。这会导致可利用的崩溃。(CVE-2017-7800)

  - 当更新的样式对象在仍使用时遭到释放，在窗口调整大小期间，重新计算 <code>marquee</code> 元素的布局时，可能出现释放后使用漏洞。这会导致潜在可利用的崩溃。(CVE-2017-7801)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 52.0.1。因此如公告 mfsa2017-08 所述受到一个漏洞的影响。

  - 通过 Pwn2Own 竞赛报告 <code>createImageBitmap()</code> 中存在整数溢出。此漏洞的修复禁用了 <code>createImageBitmap</code> API 的实验性扩展。
    此函数在内容沙盒中运行需要第二个漏洞才能危害用户的计算机。 (CVE-2017-5428)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 54.0。因此如公告 mfsa2017-15 所述受到多个漏洞的影响。

  - Graphite 2 库中存在多个安全漏洞包括越界读取、缓冲区溢出读取和写入以及使用未初始化的内存。已在 Graphite 2 版本 1.3.10中解决这些问题。 (CVE-2017-7778)

  - 当尝试使用树中不再存在的节点时重新生成 CSS 布局时在树重建期间帧加载程序中存在释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2017-5472)

  - 重新加载 docshell 期间使用错误 URL 时出现释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2017-7749)

  - 当 <code><track></code> 元素保留对较旧窗口的引用如果该窗口已在 DOM 中替换时在视频控制操作中可能会出现释放后使用漏洞。这会导致潜在可利用的崩溃。 (CVE-2017-7750)

  - 内容查看器侦听器的释放后使用漏洞导致潜在可利用的崩溃。 (CVE-2017-7751)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 142.0.7444.176。因此，该应用程序受到 2025_11_stable-channel-update-for-desktop_17 公告中提及的多个漏洞的影响。

  - Google Chrome 142.0.7444.175 之前版本的 V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）(CVE-2025-13223、CVE-2025-13224)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 140.5。因此，该应用程序受到 mfsa2025-91 公告中提及的多个漏洞的影响。

  - WebRTC：音频/视频组件中的释放后使用。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13020)

  - Graphics 组件中的争用条件。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5 和 Firefox ESR < 115.30。(CVE-2025-13012)

  - JavaScript 中的错误边界条件：WebAssembly 组件。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13016)

  - DOM 组件中的同源策略绕过：通知组件。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13017)

  - DOM 中的缓解绕过：安全组件。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13018)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 145.0。因此，该应用程序受到 mfsa2025-90 公告中提及的多个漏洞的影响。

  - 在 Firefox 144 Thunderbird 144 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-13027)

  - 由于 Graphics: WebGPU 组件中的边界条件不正确而导致沙盒逃逸。此漏洞会影响 Firefox < 145。(CVE-2025-13023, CVE-2025-13026)

  - Graphics: WebGPU 组件中的边界条件不正确。此漏洞会影响 Firefox < 145。
    （CVE-2025-13021、CVE-2025-13022、CVE-2025-13025）

  - Graphics 组件中的争用条件。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5 和 Firefox ESR < 115.30。(CVE-2025-13012)

  - JavaScript 中的错误边界条件：WebAssembly 组件。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13016)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Microsoft Office for Mac 版本受到 november-11-2025 公告中提及的多个漏洞影响。

  - Microsoft Graphics Component 中基于堆的缓冲区溢出漏洞允许未经授权的攻击者通过网络执行代码。(CVE-2025-60724)

  - Microsoft Office Excel 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。
    (CVE-2025-62203)

  - Microsoft Office Excel 中的越界读取漏洞允许未经授权的攻击者在本地泄露信息。(CVE-2025-60726、CVE-2025-62202)

  - Microsoft Office Excel 中的越界读取漏洞允许未经授权的攻击者在本地执行代码。
    (CVE-2025-60727)

  - Microsoft Office Excel 中不受信任的指针取消引用允许未经授权的攻击者通过网络泄漏信息。(CVE-2025-60728)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 142.0.7444.162。因此，它受到 2025_11_stable-channel-update-for-desktop_11 公告中提及的漏洞影响。

  - 在 142.0.7444.166 之前版本的 Google Chrome 中，V8 中存在不当实现漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。（Chromium 安全严重性：高）(CVE-2025-13042)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 145.0。因此，受到 mfsa2025-87 公告中提及的多个漏洞影响。

  - 在 Firefox 144 Thunderbird 144 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2025-13027)

  - 由于 Graphics: WebGPU 组件中的边界条件不正确而导致沙盒逃逸。此漏洞会影响 Firefox < 145 和 Thunderbird < 145。(CVE-2025-13023、CVE-2025-13026)

  - Graphics: WebGPU 组件中的边界条件不正确。此漏洞会影响 Firefox < 145 和 Thunderbird < 145。(CVE-2025-13021、CVE-2025-13022、CVE-2025-13025)

  - Graphics 组件中的争用条件。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5、Firefox ESR < 115.30、Thunderbird < 145 和 Thunderbird < 140.5。(CVE-2025-13012)

  - JavaScript 中的错误边界条件：WebAssembly 组件。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5、Thunderbird < 145 和 Thunderbird < 140.5。(CVE-2025-13016)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Adobe Photoshop 版本低于 26.9。因此，其会受到 apsb25-108 公告中提及的一个漏洞影响。

  - Photoshop Desktop 26.8.1 和更早版本均受到基于堆的缓冲区溢出漏洞影响，攻击者可利用此漏洞在当前用户的上下文中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2025-61819)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 115.30。因此，该应用程序受到 mfsa2025-89 公告中提及的多个漏洞的影响。

  - 音频/视频组件中的释放后使用。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5 和 Firefox ESR < 115.30。(CVE-2025-13014)

  - Graphics 组件中的争用条件。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5 和 Firefox ESR < 115.30。(CVE-2025-13012)

  - DOM Core 与 HTML 组件中的缓解绕过。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5 和 Firefox ESR < 115.30。(CVE-2025-13013)

  - Firefox 中的欺骗问题。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5 和 Firefox ESR < 115.30。(CVE-2025-13015)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe InDesign 版本低于 20.5.1 或 21.0.0 版本。因此，它受到 APSB25-106 公告中提及的多个漏洞的影响。

  - InDesign Desktop 版本 20.5、 19.5.5 和更早版本受到一个基于堆的缓冲区溢出漏洞的影响可导致在当前用户的上下文中执行任意代码。
    利用此漏洞需要用户交互，受害者必须打开恶意文件。
    （CVE-2025-61824、CVE-2025-61832）

  - InDesign Desktop 版本 20.5、 19.5.5 和更旧版本受到一个释放后使用漏洞的影响其可导致在当前用户的上下文中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。（CVE-2025-61814、CVE-2025-61815）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 140.5。因此，该应用程序受到 mfsa2025-88 公告中提及的多个漏洞的影响。

  - WebRTC：音频/视频组件中的释放后使用。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13020)

  - Graphics 组件中的争用条件。此漏洞会影响 Firefox < 145、Firefox ESR < 140.5 和 Firefox ESR < 115.30。(CVE-2025-13012)

  - JavaScript 中的错误边界条件：WebAssembly 组件。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13016)

  - DOM 组件中的同源策略绕过：通知组件。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13017)

  - DOM 中的缓解绕过：安全组件。此漏洞会影响 Firefox < 145 和版本低于 140.5 的 Firefox ESR。(CVE-2025-13018)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Zoom Workplace 版本低于 6.5.10。因此，该应用程序受到 ZSB-25040 公告中提及的漏洞影响。

  - 版本 6.5.10 之前的 macOS 版 Zoom Workplace 包含对文件名或路径的外部控制漏洞，经身份验证的用户可能会通过本地访问导致信息泄露。用户可以通过应用 https://zoom.us/download 中的最新更新来帮助确保自身安全。(CVE-2025-64738)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装了 wcurl 。

远程主机上安装的 wcurl 版本低于 2025.11.04。因此当 URL 包含百分比编码的斜线时会受到路径遍历漏洞的影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Microsoft Office for Mac 版本受到2025 年 10 月公告中提及的多个漏洞影响，包括：

  - Microsoft Office Excel 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。(CVE-2025-59236)

  - Microsoft Office Word 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。(CVE-2025-59222)

  - Microsoft Office 中存在释放后使用漏洞，未经授权的攻击者可利用此漏洞在本地执行代码。(CVE-2025-59227)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 142.0.7444.135。因此，该应用程序受到 2025_11_stable-channel-update-for-desktop 公告中提及的多个漏洞的影响。

  - 在 142.0.7444.137 之前版本的 Google Chrome 中，V8 中存在不当实现漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。（Chromium 安全严重性：高）(CVE-2025-12727)

  - 版本低于 142.0.7444.137 的 Android 版 Google Chrome 的 WebGPU 中存在越界读取漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面执行越界内存写入攻击。（Chromium 安全严重性：高）(CVE-2025-12725)

  - 版本低于 142.0.7444.137 的 Windows 版 Google Chrome 的 Views 中存在不当实现漏洞，已破坏渲染器进程的远程攻击者可利用此漏洞，通过构建的 HTML 页面执行特权提升操作。
    （Chromium 安全严重性：高）(CVE-2025-12726)

  - Android 版 Google Chrome 142.0.7444.137 之前版本的 Omnibox 中存在实现不当漏洞，远程攻击者可能利用此漏洞诱骗用户使用特定 UI 手势，通过构建的 HTML 页面发动 UI 欺骗攻击。（Chromium 安全严重性：中）（CVE-2025-12728、CVE-2025-12729）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 15.7.2 的 15.x。因此，该应用程序受到多个漏洞的影响：

  - 已通过改进的内存处理解决内存损坏问题。已在 watchOS 26.1、iOS 18.7.2 和 iPadOS 18.7.2、macOS Tahoe 26.1、visionOS 26.1、tvOS 26.1、macOS Sonoma 14.8.2、macOS Sequoia 15.7.2、iOS 26.1 和 iPadOS 26.1 中修复此问题。恶意应用程序可能导致系统意外终止，或写入内核内存。(CVE-2025-43520)

  - REXML 是适用于 Ruby 的 XML 工具包。3.3.6 之前版本的 REXML gem 在解析具有多个深层元素（具有相同的本地名称属性）的 XML 时，出现拒绝服务 (DoS) 漏洞。如果需要使用树形解析器 API（如 REXML::Document.new）解析不受信任的 XML，可能会受到此漏洞的影响。如果使用流解析器 API 和 SAX2 解析器 API 等其他解析器 API，此漏洞不受影响。REXML gem 3.3.6 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-43398)

  - REXML 是适用于 Ruby 的 XML 工具包。3.3.9 之前的 REXML gem 在十六进制数值字符引用 (&#x...;) 中解析 &# 和 x... 之间有许多数字的 XML 时，出现 ReDoS 漏洞。使用 Ruby 3.2 或更高版本时不会发生这种情况。目前维护的 Ruby 版本中仅 Ruby 3.1 会受影响。REXML gem 3.3.9 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-49761)

  - 已通过改进验证解决权限问题。此问题已在 macOS Ventura 13.7.5、iPadOS 17.7.6、macOS Sequoia 15.4、macOS Sonoma 14.7.5 中修复。快捷方式或许能够访问“快捷方式”应用通常无法访问的文件。(CVE-2025-30465)

  - 已通过改进状态处理解决争用情形。此问题已在 macOS Tahoe 26、macOS Sequoia 15.7.2 中修复。应用程序或可访问敏感用户数据。(CVE-2025-43292)

请注意，Nessus 并未测试这些问题，而是只依据操作系统自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 26.1 的 26.x。因此，它受到多个漏洞影响：

  - 已通过改进内存处理解决此问题。macOS Tahoe 中已修复此问题 26.1。应用程序可能会造成系统意外终止或损坏进程内存。 (CVE-2025-43402)

  - Sudo 1.9.17p1 之前版本与指定主机既不是当前主机也不是 ALL 的 sudoers 文件一起使用时，允许列出的用户在非预期计算机上执行命令。(CVE-2025-32462)

  - REXML 是适用于 Ruby 的 XML 工具包。3.3.6 之前版本的 REXML gem 在解析具有多个深层元素（具有相同的本地名称属性）的 XML 时，出现拒绝服务 (DoS) 漏洞。如果需要使用树形解析器 API（如 REXML::Document.new）解析不受信任的 XML，可能会受到此漏洞的影响。如果使用流解析器 API 和 SAX2 解析器 API 等其他解析器 API，此漏洞不受影响。REXML gem 3.3.6 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-43398)

  - REXML 是适用于 Ruby 的 XML 工具包。3.3.9 之前的 REXML gem 在十六进制数值字符引用 (&#x...;) 中解析 &# 和 x... 之间有许多数字的 XML 时，出现 ReDoS 漏洞。使用 Ruby 3.2 或更高版本时不会发生这种情况。目前维护的 Ruby 版本中仅 Ruby 3.1 会受影响。REXML gem 3.3.9 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-49761)

  - 已通过改进验证解决权限问题。此问题已在 macOS Ventura 13.7.5、iPadOS 17.7.6、macOS Sequoia 15.4、macOS Sonoma 14.7.5 中修复。快捷方式或许能够访问“快捷方式”应用通常无法访问的文件。(CVE-2025-30465)

请注意，Nessus 并未测试这些问题，而是只依据操作系统自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 14.8.2 的 14.x。因此，该应用程序受到多个漏洞的影响：

  - 此问题已通过改进输入验证来解决。已在 tvOS 26、watchOS 26、iOS 26 以及 iPadOS 26、macOS Konoma 14.8.2和visionOS 26 中修复此问题。处理恶意构建的媒体文件可能会导致应用程序意外终止或进程内存损坏。 (CVE-2025-43372)

  - REXML 是适用于 Ruby 的 XML 工具包。3.3.6 之前版本的 REXML gem 在解析具有多个深层元素（具有相同的本地名称属性）的 XML 时，出现拒绝服务 (DoS) 漏洞。如果需要使用树形解析器 API（如 REXML::Document.new）解析不受信任的 XML，可能会受到此漏洞的影响。如果使用流解析器 API 和 SAX2 解析器 API 等其他解析器 API，此漏洞不受影响。REXML gem 3.3.6 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-43398)

  - REXML 是适用于 Ruby 的 XML 工具包。3.3.9 之前的 REXML gem 在十六进制数值字符引用 (&#x...;) 中解析 &# 和 x... 之间有许多数字的 XML 时，出现 ReDoS 漏洞。使用 Ruby 3.2 或更高版本时不会发生这种情况。目前维护的 Ruby 版本中仅 Ruby 3.1 会受影响。REXML gem 3.3.9 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-49761)

  - 已通过改进验证解决权限问题。此问题已在 macOS Ventura 13.7.5、iPadOS 17.7.6、macOS Sequoia 15.4、macOS Sonoma 14.7.5 中修复。快捷方式或许能够访问“快捷方式”应用通常无法访问的文件。(CVE-2025-30465)

  - 已通过改进数据编辑解决一个日志记录问题。此问题已在 iOS 18.4 和 iPadOS 18.4、visionOS 2.4、macOS Sequoia 15.4中修复。应用程序或可访问敏感用户数据。(CVE-2025-31199)

请注意，Nessus 并未测试这些问题，而是只依据操作系统自我报告的版本号进行判断。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 4.4.9。因此受到公告 wireshark-4.4.9 中提及的多个漏洞的影响。

  - Wireshark 中的 SSH 分析器崩溃 4.4.0 至 4.4.8 允许拒绝服务 (CVE-2025-9817)

  - Wireshark 4.4.0 至 4.4.6 和 4.2.0 至 4.2.12 版本的 DNP 分析器中存在列处理崩溃，攻击者可利用此漏洞通过注入数据包或构建的捕获文件造成拒绝服务 (CVE-2025-5601)

  - Wireshark 中的捆绑协议和 CBOR 分析器崩溃 4.4.0 升级到 4.4.3 和 4.2.0 升级到 4.2.10 允许通过数据包注入或构建的捕获文件造成拒绝服务 (CVE-2025-1492)

  - Wireshark 中的 FedCo RAP 分析器无限循环 4.4.0 升级到 4.4.1 以及 4.2.0 升级到 4.2.8 允许通过数据包注入或构建的捕获文件造成拒绝服务 (CVE-2024-11595)

  - Wireshark 中的 ECMP 分析器崩溃 4.4.0 升级到 4.4.1 以及 4.2.0 升级到 4.2.8 允许通过数据包注入或构建的捕获文件造成拒绝服务 (CVE-2024-11596)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 142.0.7444.60。因此，该浏览器受到 2025_10_stable-channel-update-for-desktop_28 公告中提及的多个漏洞影响。

  - Google Chrome 142.0.7444.59 之前版本的 V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）（CVE-2025-13226、CVE-2025-13227、CVE-2025-13228、CVE-2025-13229、CVE-2025-13230）

  - 在 Linux 和 ChromeOS 版 Google Chrome 142.0.7444.59 之前版本中，Ozone 中存在释放后使用漏洞，允许远程攻击通过构建的 HTML 页面利用对象损坏。（Chromium 安全严重性：
    中危）(CVE-2025-12438)

  - 在 Google Chrome 142.0.7444.59 之前版本中，V8 中存在类型混淆问题，允许远程攻击者通过构建的 HTML 页面执行任意读取/写入。（Chromium 安全严重性：高）(CVE-2025-12428)

  - 在 Google Chrome 142.0.7444.59 之前版本中，V8 中存在不当实现问题，允许远程攻击者通过构建的 HTML 页面执行任意读取/写入。（Chromium 安全严重性：高）(CVE-2025-12429)

  - 在 Google Chrome 142.0.7444.59 之前版本中，Media 中存在对象生命周期问题，允许远程攻击通过构建的 HTML 页面发动 UI 欺骗攻击。（Chromium 安全严重性：高）(CVE-2025-12430)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
275653	Mozilla Firefox ESR < 52.1	critical
275652	Mozilla Thunderbird < 52.5	critical
275651	Mozilla Thunderbird < 78.3	high
275650	Mozilla Thunderbird < 140.4	critical
275648	Mozilla Thunderbird < 68.6	critical
275647	Mozilla Firefox < 60.0.2	high
275644	Mozilla Thunderbird < 52.4	critical
275643	Mozilla Firefox < 68.10.1	high
275642	Mozilla Firefox ESR < 52.3	critical
275641	Mozilla Firefox ESR < 60.2.2	critical
275640	Mozilla Firefox < 62.0	critical
275639	Mozilla Firefox < 58.0	critical
275637	Mozilla Firefox < 51.0.3	critical
275636	Mozilla Thunderbird < 91.1	high
275634	Mozilla Firefox < 56.0	critical
275633	Mozilla Thunderbird < 52.3	critical
275632	Mozilla Firefox ESR < 45.8	critical
275631	Mozilla Firefox < 67.0.2	medium
275630	Mozilla Firefox ESR < 52.9	critical
275629	Mozilla Thunderbird < 60.0	critical
275628	Mozilla Thunderbird < 52.7	critical
275627	Mozilla Thunderbird < 60.3	critical
275625	Mozilla Thunderbird < 52.9	critical
275624	Mozilla Thunderbird < 52.8	critical
275622	Mozilla Firefox < 63.0	critical
275620	Mozilla Thunderbird < 52.1	critical
275617	Mozilla Firefox ESR < 60.3	critical
275616	Mozilla Firefox < 55.0	critical
275615	Mozilla Firefox ESR < 52.0.1	critical
275614	Mozilla Firefox < 54.0	critical
275551	Google Chrome < 142.0.7444.176 多个漏洞	high
275469	Mozilla Thunderbird < 140.5	high
275462	Mozilla Thunderbird < 145.0	critical
274837	Microsoft Office 产品的安全更新（2025 年 11 月）(macOS)	high
274836	Google Chrome < 142.0.7444.162 漏洞	high
274833	Mozilla Firefox < 145.0	critical
274832	Adobe Photoshop 26.x < 26.9漏洞 (macOS APSB25-108)	high
274768	Mozilla Firefox ESR < 115.30	high
274758	Adobe InDesign < 20.5.1 / 20.0 < 21.0.0 多个任意代码执行 (APSB25-106) (macOS)	high
274755	Mozilla Firefox ESR < 140.5	high
274732	Zoom Workplace < 6.5.10 漏洞 (ZSB-25040)	medium
274435	安装了 wcurl (macOS)	info
274434	wcurl 2024.12.08 < 2025.11.04 路径遍历	high
274405	Microsoft Office 产品的安全更新（2025 年 10 月）(macOS)	high
274070	Google Chrome < 142.0.7444.135 多个漏洞	high
272235	macOS 15.x < 15.7.2 多个漏洞 (125635)	high
272228	macOS 26.x < 26.1 多个漏洞 (125634)	high
272227	macOS 14.x < 14.8.2 多个漏洞 (125636)	high
271970	Wireshark 4.4.x < 4.4.9 多个漏洞 (macOS)	high
271963	Google Chrome < 142.0.7444.60 多个漏洞	high

检测

Nessus 的 MacOS X Local Security Checks 系列

critical

critical

high

critical

critical

high

critical

high

critical

critical

critical

critical

critical

high

critical

critical

critical

medium

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

high

high

critical

high

high

critical

high

high

high

high

medium

info

high

high

high

high

high

high

high

high