Kritiske sikkerhedsrettelser i Chrome og Firefox

Google har lanceret Chrome version 136 i den stabile kanal med otte sikkerhedsrettelser, hvoraf fire er indrapporteret af eksterne sikkerhedsresearchere. Den mest alvorlige af disse, CVE-2025-4096, er en heap buffer overflow-fejl i browserens HTML-komponent og er klassificeret som høj risiko. Fejlen kunne potentielt udnyttes til at kompromittere brugerens system. 

Det skriver Security Week.

Google har udbetalt op til 5.000 amerikanske dollar i belønninger for de rapporterede sårbarheder, herunder yderligere fejl i DevTools-relaterede komponenter med varierende alvorlighedsgrad – fra utilstrækkelig datavalidering til uhensigtsmæssig implementering.

Den nye Chrome-version rulles i øjeblikket ud som 136.0.7103.48/49 til Windows og macOS, og som 136.0.7103.59 til Linux, men kan også hentes af brugerne selv.

Også Mozilla er på banen med rettelser til sin Firefox-browser. I alt lukker den nye Firefox 138 11 kendte sårbarheder. Fire af disse er vurderet som høj risiko og kan føre til privilegieeskalering, sandbox-omgåelse og mulig vilkårlig afvikling af kode. Seks fejl med mellem risiko dækker over blandt andet informationslækage, usynlige filendelser ved downloads, hukommelseskorruption og CSRF-angreb.

En lavrisiko-sårbarhed, der specifikt påvirkede Firefox til Android, er også blevet løst.

Opdateringerne gælder også for Thunderbird 138 og Firefox/Thunderbird ESR-versionerne, hvor flere af sårbarhederne ligeledes er blevet adresseret.

Hverken Google eller Mozilla har i skrivende stund registreret, at sårbarhederne er blevet udnyttet aktivt i angreb. Men det anbefales, at browsere opdateres hurtigst muligt, da sårbarheder i netop Chrome og Firefox ofte udnyttes kort tid efter offentliggørelse.