Kritiske sikkerhedsrettelser i Chrome og Firefox

Google har lanceret Chrome version 136 og i den forbindelse gennemført otte sikkerhedsrettelser, hvoraf fire er indrapporteret af eksterne sikkerhedsresearchere. Den mest alvorlige af disse, CVE-2025-4096, er en heap buffer overflow-fejl i browserens HTML-komponent og er klassificeret som høj risiko. Fejlen kan udnyttes til at kompromittere brugerens system. 

Det skriver Security Week.

Google har udbetalt op til 5.000 amerikanske dollar i dusør for de rapporterede sårbarheder, herunder yderligere fejl i DevTools-relaterede komponenter med varierende alvorlighedsgrad – fra utilstrækkelig datavalidering til uhensigtsmæssig implementering.

Den nye Chrome-version rulles i øjeblikket ud som 136.0.7103.48/49 til Windows og macOS, og som 136.0.7103.59 til Linux, men kan også hentes af brugerne selv.

Også Mozilla er på banen med rettelser til sin Firefox-browser. I alt lukker den nye Firefox 138 11 kendte sårbarheder. Fire af disse er vurderet som høj risiko og kan føre til privilegieeskalering, omgåelse af sandbox og mulig vilkårlig afvikling af kode. Seks fejl med mellem risiko dækker over blandt andet informationslækage, usynlige filendelser ved downloads, hukommelseskorruption og CSRF-angreb.

En lavrisiko-sårbarhed, der specifikt påvirkede Firefox til Android, er også blevet løst.

Opdateringerne gælder også for Thunderbird 138 og Firefox/Thunderbird ESR-versionerne, hvor flere af sårbarhederne ligeledes er blevet adresseret.

Hverken Google eller Mozilla har i skrivende stund registreret, at sårbarhederne er blevet udnyttet aktivt i angreb. Men det anbefales, at browsere opdateres hurtigst muligt, da sårbarheder i netop Chrome og Firefox ofte udnyttes kort tid efter offentliggørelse.