Chrome 135、Firefox 137修补高危漏洞

谷歌和 Mozilla 周二宣布向稳定渠道发布 Chrome 135 和 Firefox 137，其中修补了近二十个漏洞，包括高严重性内存安全漏洞。

Chrome 135 已升级到稳定版本，其中包含 14 个安全修复程序，其中 9 个是针对外部研究人员报告的缺陷。其中最严重的是 CVE-2025-3066，这是导航中的一个高严重性释放后使用漏洞。

此更新解决了四个中等严重程度的问题（自定义选项卡、意图和扩展中的三个不适当实现，以及扩展中对不受信任的输入的验证不足）和四个低严重程度的错误（导航、自定义选项卡、自动填充和下载中的不适当实现）。

谷歌表示，它向报告漏洞的研究人员支付了 18,000 美元的赏金，其中最高的赏金（10,000 美元）颁给了 Philipp Beer（维也纳技术大学），奖励他报告自定义标签中的不当实施问题。

不过，高危问题的悬赏金额尚未披露，谷歌最终为这些漏洞支付的金额可能要高得多。

Chrome 最新版本目前已推出 Linux 版本 135.0.7049.52，Windows 和 macOS 版本 135.0.7049.41/42。

Firefox 137发布时修复了八个安全缺陷，包括三个高严重性缺陷：由 XSLTProcessor 触发的释放后使用（跟踪为 CVE-2025-3028）以及多个可能被用于代码执行的内存安全漏洞（统称为 CVE-2025-3030 和 CVE-2025-3034）。

浏览器更新还解决了中低严重程度的漏洞，这些漏洞可能导致信息泄露、URL 栏欺骗以及在 Windows 上打开 .url 快捷方式时上传任意文件。

周二，Mozilla 还宣布发布 Firefox ESR 128.9、Firefox ESR 115.22、Thunderbird 137 和 Thunderbird ESR 128.9，其中包含针对 Firefox 中已解决的大部分问题的补丁。

Google 和 Mozilla 均未提及这些漏洞是否已被利用。不过，我们建议用户尽快更新其应用程序。