CVE-2026-8963CVE-2026-8963是Mozilla Firefox和Thunderbird中Web Speech组件的一个高危漏洞。该漏洞源于欺骗问题,允许攻击者利用Web Speech API的缺陷对用户实施欺骗。由于无需用户交互和认证即可通过网络触发,攻击者可诱导受害者访问恶意网页,进而播放虚假语音或干扰语音识别,破坏信息完整性。官方已在Firefox 151和Thunderbird 151版本中修复该问题。
该漏洞的核心在于Web Speech组件未能正确验证语音合成或识别请求的上下文来源,导致存在信任边界模糊的问题。攻击者可以通过构造特制的HTML页面,利用JavaScript调用受影响浏览器的`SpeechSynthesis`接口。由于缺乏足够的安全隔离,恶意页面可以模拟可信源向用户输出伪造的语音信息。CVSS向量显示完整性影响为高(I:H),这意味着攻击者能够完全控制用户听到的语音内容,从而进行社会工程学攻击。攻击过程无需用户交互(UI:N)和特权(PR:N),只需受害者访问恶意链接即可在后台静默触发。这种利用方式门槛极低,隐蔽性高,对依赖语音交互的场景构成严重威胁,可能导致用户被误导执行非预期操作或泄露敏感信息。