谷歌和 Mozilla 周二宣布向稳定渠道发布 Chrome 135 和 Firefox 137,其中修补了近二十个漏洞,包括高严重性内存安全漏洞。
Chrome 135 已升级到稳定版本,其中包含 14 个安全修复程序,其中 9 个是针对外部研究人员报告的缺陷。其中最严重的是 CVE-2025-3066,这是导航中的一个高严重性释放后使用漏洞。
此更新解决了四个中等严重程度的问题(自定义选项卡、意图和扩展中的三个不适当实现,以及扩展中对不受信任的输入的验证不足)和四个低严重程度的错误(导航、自定义选项卡、自动填充和下载中的不适当实现)。
谷歌表示,它向报告漏洞的研究人员支付了 18,000 美元的赏金,其中最高的赏金(10,000 美元)颁给了 Philipp Beer(维也纳技术大学),奖励他报告自定义标签中的不当实施问题。
不过,高危问题的悬赏金额尚未披露,谷歌最终为这些漏洞支付的金额可能要高得多。
Chrome 最新版本目前已推出 Linux 版本 135.0.7049.52,Windows 和 macOS 版本 135.0.7049.41/42。
Firefox 137发布时修复了八个安全缺陷,包括三个高严重性缺陷:由 XSLTProcessor 触发的释放后使用(跟踪为 CVE-2025-3028)以及多个可能被用于代码执行的内存安全漏洞(统称为 CVE-2025-3030 和 CVE-2025-3034)。
浏览器更新还解决了中低严重程度的漏洞,这些漏洞可能导致信息泄露、URL 栏欺骗以及在 Windows 上打开 .url 快捷方式时上传任意文件。
周二,Mozilla 还宣布发布 Firefox ESR 128.9、Firefox ESR 115.22、Thunderbird 137 和 Thunderbird ESR 128.9,其中包含针对 Firefox 中已解决的大部分问题的补丁。
Google 和 Mozilla 均未提及这些漏洞是否已被利用。不过,我们建议用户尽快更新其应用程序。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...