CVE-2026-8957: Mozilla 修补企业中权限提升漏洞

执行摘要

Mozilla 发布了安全更新，解决了 Firefox、Firefox ESR 和 Thunderbird 的企业策略组件中的 CVE-2026-8957 权限提升漏洞。这个缺陷被分配了一个 CVSS 评分 6.5（中等），允许具有本地访问权限的攻击者在浏览器的政策执行框架内提升权限。根据 Bugzilla 条目（ID 2033850）和 NVD 列表，Mozilla 在 Firefox 151、Firefox ESR 140.11、Thunderbird 151 和 Thunderbird 140.11 中修复了这个问题。通过组策略或集中配置管理部署 Firefox 的企业管理员应该优先考虑这个更新，因为该漏洞直接破坏了旨在限制用户行为的政策沙箱。

技术分析

CVE-2026-8957 存在于企业策略组件中，Mozilla 设计这个组件是为了允许 IT 管理员在受管理的 Firefox 安装中强制执行安全配置（例如，阻止扩展、强制 HTTPS 模式、禁用遥测）。Bugzilla 报告（ID 2033850）表明，这个漏洞可以在策略引擎内实现权限提升，尽管 Mozilla 尚未发布详细的根本原因分析。基于组件的功能，这个缺陷可能涉及策略文件权限的不当验证，或者是浏览器在启动时应用策略覆盖时的竞态条件。

CVSS 6.5 评分反映了一个中等严重性问题，具有本地攻击向量（AV:L）、低攻击复杂性（AC:L），并且不需要用户交互（UI:N）就可以利用。对机密性、完整性和可用性的影响是部分的（C:L/I:L/A:L）。已经拥有有限本地访问权限的攻击者——例如恶意内部人员或在低权限用户帐户下运行的恶意软件——可以利用这一点来绕过企业施加的限制。例如，受政策限制阻止安装未签名扩展的用户可能会潜在地禁用该限制并加载任意代码。

这个漏洞与同一批次中披露的另外两个 Mozilla 缺陷不同：CVE-2026-8956（CVSS 9.8，Networking: JAR 组件中的整数溢出）和 CVE-2026-8950（CVSS 9.3，Networking: HTTP 中的同源策略绕过）。虽然这两个缺陷的严重性评分更高，并且不需要本地访问，但 CVE-2026-8957 特别危险，因为它是在政策执行是主要安全边界的受管理环境中。成功利用 CVE-2026-8957 可能会允许攻击者禁用本应阻止其他两个漏洞利用的安全策略。

Mozilla 的咨询（通过 Bugzilla）确认修复包含在 Firefox 151、Firefox ESR 140.11、Thunderbird 151 和 Thunderbird 140.11 中。ESR（扩展支持版本）渠道对于企业部署特别相关，因为组织通常标准化 ESR 构建以确保稳定性。Firefox ESR 140.11 是 140 分支中最新的 ESR 版本；仍在使用 ESR 128.x 或更早版本的组织必须升级到支持的 ESR 分支，然后才能应用补丁。

缓解措施与建议

企业防御者应采取以下行动：

1. 立即更新：将 Firefox 151、Firefox ESR 140.11、Thunderbird 151 或 Thunderbird 140.11 部署到所有受管理的端点。对于使用集中部署工具的组织（例如，Microsoft SCCM、Munki 或 Linux 包管理器），请通过标准软件分发渠道推送更新。

2. 验证 ESR 分支：使用 Firefox ESR 128.x 或更早版本的组织必须首先迁移到 ESR 140 分支，然后才能应用 140.11 补丁。Mozilla 提供了跨分支迁移的升级指南。

3. 审查策略配置：更新后，审计企业策略文件（Windows/Linux 上的 policies.json，macOS 上的 com.mozilla.firefox.plist），确保它们正确应用，并且非管理员用户无法修改。限制策略文件的写权限到 root/Administrator 帐户。

4. 监控利用情况：尽管截至 2026 年 5 月 20 日，尚未报告公开的漏洞代码，但防御者应监控端点检测和响应（EDR）日志，以寻找异常的 Firefox 进程行为——特别是具有意外权限的子进程或未经批准的管理工具修改策略文件。

5. 分层防御：由于 CVE-2026-8957 需要本地访问，确保端点安全控制（应用程序白名单、最小权限用户帐户和 EDR）到位，以限制攻击者达到本地攻击向量的能力。