利用AI技术进行自动化漏洞分析的安全企业Aisle本周披露,该公司在Firefox的WebAssembly引擎中发现一个堆栈缓冲区溢出漏洞CVE-2025-13016,该漏洞是因为程序代码里有一行指标计算错误,而让黑客得以在特定情况下执行任意程序代码,影响全球超过1.8亿Firefox用户。
研究人员指出,Mozilla在2025年4月加入这段含有漏洞的程序代码,并同时加入一个用来验证其行为的回归测试(Regression Test),但仍未能侦测出问题,直到2025年10月才被Aisle的自主分析器发现。
WebAssembly是一种让浏览器可执行高性能程序的技术,而WebAssembly引擎则负责运行这些程序。此次漏洞正位于引擎内一段用于将WebAssembly数组数据复制到暂存区的C++程序代码,因指标运算错误造成复制范围误算,导致数据写出边界并形成堆栈缓冲区溢出。CVE-2025-13016的CVSS风险等级为7.5。
该漏洞影响所有支持WebAssembly GC的Firefox平台,包括Windows、macOS、Linux与Android,涵盖Firefox 143到145初期版本以及ESR 140.0至140.4。
此次漏洞虽发生在Firefox本身,但各大Linux发行版都在官方软件库提供Firefox组件,因此在漏洞公开后,主要Linux系统皆迅速推出修补更新,包括Ubuntu、Debian、Fedora、Arch Linux与红帽企业版Linux等,以确保修户能自动取得安全版本。
Aisle于10月2日向Mozilla通报该漏洞,而Mozilla在14天内便完成修补。Aisle并表示Mozilla为此支付了“可观”(Substantial)的漏洞奖金,但未透露实际金额。
