CVE-2025-14325CVE-2025-14325是Mozilla产品中的一个高危安全漏洞,存在于Firefox、Firefox ESR和Thunderbird的JavaScript引擎JIT(即时编译)组件中。该漏洞为JIT编译器错误编译(miscompilation)问题,攻击者可以通过诱使目标用户访问特制的网页来触发JIT编译器处理恶意JavaScript代码,从而可能导致任意代码执行或内存破坏。由于CVSS评分为7.3(高危),且攻击向量为网络攻击,无需认证和用户交互即可利用,具有较高的实际威胁性。该漏洞影响多个Mozilla产品的多个版本,已在Firefox 146、Firefox ESR 140.6、Thunderbird 146和Thunderbird 140.6版本中得到修复。漏洞由[email protected]发现并报告,建议用户立即升级到最新版本以消除安全风险。
该漏洞位于Mozilla JavaScript引擎SpiderMonkey的JIT(即时编译)组件中。JIT编译器负责将热点JavaScript代码动态编译为本地机器码以提升执行性能。在编译过程中,JIT编译器可能产生错误的机器码(miscompilation),导致编译器优化错误或内存布局问题。攻击者可以通过构造包含特定JavaScript代码模式的网页来触发这个编译器错误。当JIT编译器处理这些精心设计的代码时,可能会生成存在安全问题的机器码,导致类型混淆、内存破坏或沙箱逃逸。成功利用此漏洞的攻击者可以在受影响应用的上下文中执行任意代码。由于漏洞位于浏览器核心组件中,即使启用沙箱保护也可能受到影响,需要通过更新补丁彻底修复。CVSS向量显示该漏洞通过网络(AV:N)即可利用,攻击复杂度低(AC:L),无需认证(PR:N)和用户交互(UI:N),机密性、完整性和可用性影响均为低(C:L/I:L/A:L)。