Google и Mozilla спешно устраняют критические угрозы в браузерах
Необходимо срочно установить обновления.
Google и Mozilla выпустили обновления для браузеров Chrome и Firefox, устраняющие десятки уязвимостей, включая опасные ошибки в системе управления памятью. Обновлённый Chrome 135 получил 14 исправлений безопасности, девять из которых были обнаружены внешними исследователями. Самая серьёзная из них — ошибка CVE-2025-3066, связанная с использованием уже освобождённой памяти в механизме навигации. Такие уязвимости могут привести к сбоям и даже к выполнению произвольного кода.
Кроме того, Google устранил четыре уязвимости средней степени риска, включая некорректные реализации функций в Custom Tabs, Intents и Extensions, а также недостаточную проверку входных данных. Ещё четыре бага признаны менее опасными — они касаются работы навигации, автозаполнения, загрузок и вкладок.
За обнаруженные проблемы компания выплатила исследователям $18 000, причём наибольшую сумму — $10 000 — получил Филипп Бир из Технического университета Вены за найденную ошибку в Custom Tabs. Размер вознаграждения за наиболее серьёзную уязвимость не раскрывается, так что общая сумма выплат может быть значительно выше.
Chrome 135 сейчас распространяется как версия 135.0.7049.52 для Linux и как 135.0.7049.41/42 для Windows и macOS.
В свою очередь, Mozilla выпустила Firefox 137, устранивший восемь уязвимостей, в том числе три критических. Среди них — опасная ошибка в XSLTProcessor (CVE-2025-3028), а также уязвимости в управлении памятью, которые потенциально могли бы использоваться для выполнения вредоносного кода (CVE-2025-3030 и CVE-2025-3034).
Также обновление устраняет уязвимости средней и низкой степени, способные привести к утечке данных, подмене адресной строки и незаметной загрузке произвольных файлов при открытии ярлыков .url в Windows.
Помимо Firefox, Mozilla обновила и другие продукты: выпущены Firefox ESR 128.9, Firefox ESR 115.22, Thunderbird 137 и Thunderbird ESR 128.9 — все они получили аналогичные исправления безопасности.
Хотя ни Google, ни Mozilla не сообщают о реальных атаках с использованием этих уязвимостей, пользователям настоятельно рекомендуется как можно скорее установить обновления.