Chrome 134、Firefox 136 修补高危漏洞

Chrome 134和 Firefox 136于周二发布到稳定频道，修补了数十个漏洞，包括多个高严重性错误。

谷歌推出了 Chrome 134，修复了 14 处安全问题，其中包括 9 处由外部研究人员报告的安全缺陷。

其中最严重的漏洞是 CVE-2025-1914，这是 V8 JavaScript 引擎中的一个高严重性越界读取漏洞，其两名报告研究人员获得了 7,000 美元的漏洞赏金。

最新的 Chrome 更新解决了六个外部报告的中等严重程度缺陷，包括 DevTools 中的不当限制、配置文件中的释放后使用、浏览器 UI 和媒体流中的不当实现以及 PDFium 和媒体中的越界读取。

此浏览器版本还解决了选择和权限提示中的两个低严重程度的不当实现问题。

谷歌表示，它向报告这些漏洞的研究人员发放了总计 27,000 美元的漏洞赏金，但暂时不会透露有关漏洞的详细信息。

Chrome 的最新迭代现已推出，Linux 版本为 134.0.6998.35，Windows 版本为 134.0.6998.35/36，macOS 版本为 134.0.6998.44/45。Chrome 的扩展稳定渠道已更新为 Windows 版本 134.0.6998.36 和 macOS 版本 134.0.6998.45。

Mozilla 将 Firefox 136 推广到稳定渠道，并修复了 15 个漏洞，其中包括 8 个高严重程度的缺陷、5 个中等严重程度的缺陷和 2 个低严重程度的缺陷。

高严重性漏洞可能导致沙箱逃逸、用户被诱骗授予敏感权限、可能被利用的崩溃、可能被利用的越界访问以及任意代码执行。

周二，Mozilla 还宣布发布 Firefox ESR 128.8，修复了 10 个漏洞（包括一个严重漏洞和六个高严重漏洞），并发布了 Firefox ESR 115.21，修复了 5 个安全缺陷（一个严重漏洞和四个高严重漏洞）。

Thunderbird 136 和 Thunderbird ESR 128.8 也于周二发布，分别修复了 11 个和 10 个漏洞。

Google 和 Mozilla 均未提及这些安全缺陷是否已被利用。不过，我们建议用户尽快更新其应用程序。

— 欢迎关注