Firmy Google i Mozilla ogłosiły we wtorek 19 sierpnia nową serię poprawek dla przeglądarek Chrome i Firefox, w tym łatki luk o wysokim stopniu zagrożenia.

Autor: 2 min czytania

Chrome

Wydano nową iterację przeglądarki Chrome 139, aby rozwiązać problem zapisu poza zakresem w silniku JavaScript V8, oznaczony kodem CVE-2025-9132. Problem ten można wykorzystać zdalnie, używając zmodyfikowanych stron HTML. Został odkryty przez agenta Google Big Sleep AI, uruchomionego przez Google DeepMind i Project Zero w listopadzie 2024 roku. O Agencie AI od Google pisaliśmy tutaj.

Internetowy gigant nie ujawnił szczegółów dotyczących podatności CVE-2025-9132, ale w zeszłym miesiącu informował, że Big Sleep potrafi znaleźć luki w zabezpieczeniach, o których atakujący już wiedzą i które planują wykorzystać, umożliwiając branży zapobieganie takim atakom.

Poprawki dziury w zabezpieczeniach V8 zostały uwzględnione w wersjach Chrome 139.0.7258.138/.139 dla systemów Windows i macOS oraz w wersji 139.0.7258.138 dla systemu Linux, która wkrótce powinna zostać rozdystrybuowana do wszystkich użytkowników.

Firefox

Tego samego dnia Mozilla udostępniła poprawki dziewięciu luk bezpieczeństwa w Firefoksie, w tym pięciu oznaczonych jako „wysokiej wagi”. Wydano również nowe wersje Thunderbirda i Firefoksa ESR, aby rozwiązać niektóre z tych błędów.

Luki o wysokim stopniu ważności obejmują problem uszkodzenia pamięci w procesie GMP, prowadzący do „ucieczki z piaskownicy” (CVE-2025-9179), obejście zasad tego samego pochodzenia w komponencie graficznym (CVE-2025-9180) oraz wiele błędów bezpieczeństwa pamięci, które potencjalnie mogą prowadzić do zdalnego wykonania kodu (CVE-2025-9187, CVE-2025-9184 i CVE-2025-9185).

Pozostałe luki naprawione w tej wersji Firefoksa obejmują problem o średnim stopniu zagrożenia z niezainicjowaną pamięcią oraz błędy podszywania się i odmowy usługi (DoS), o niskim stopniu zagrożenia.

Poprawki podatności zostały uwzględnione w wersjach Firefox 142, Thunderbird 142, Thunderbird 140.2, Thunderbird 128.14, Firefox dla iOS 142, Focus dla iOS 142, Firefox ESR 140.2, Firefox ESR 128.14 i Firefox ESR 115.27. Google i Mozilla nie wspominają o wykorzystaniu którejkolwiek z luk w atakach, ale użytkownikom zaleca się jak najszybszą aktualizację przeglądarek i klientów poczty e-mail.