Google、Mozilla發布Chrome 134、Firefox 136新版瀏覽器，修補高風險越界存取漏洞

3月4日Google、Mozilla基金會發布瀏覽器大改版Chrome 134及Firefox 136，修補高風險層級的資安漏洞，用戶應儘速升級。

本次Google發布的134版Chrome當中，一共修補9項弱點，其中的CVE-2025-1914評為高風險層級，其餘有6個為中度風險、2個低風險層級，Google向通報漏洞的研究人員頒發2.7萬美元獎勵，其中有7,000美元是頒給通報CVE-2025-1914的Zhenghang Xiao、Nan Wang。

針對CVE-2025-1914這項弱點，是出現在JavaScript引擎V8的記憶體越界讀取（OBR）漏洞，遠端攻擊者可利用特製的HTML網頁觸發，從而達到越界存取的行為，CISA評估此漏洞風險值為8.8（滿分10分）。

值得留意的是，雖然Google評估大部分漏洞的危險程度僅有中度或低度，但是CISA認為有些漏洞的危險性可能被低估，他們指出CVE-2025-1916、CVE-2025-1918、CVE-2025-1919危險程度和CVE-2025-1914相同，都達到8.8分，CVE-2025-1915也達到高風險層級，危險程度為8.1分，而這些漏洞Google都評為中度風險。

Mozilla基金會同日發布Firefox 136，總共修補15項漏洞，其中有8項高風險漏洞、5項中度層級弱點，以及2項低風險弱點。

根據CISA評分，最危險的是CVE-2025-1932，這項漏洞存在於處理可延伸樣式表轉換語言（XSLT）的元件，一旦攻擊者觸發，就有機會造成越界存取，這項漏洞影響Firefox 122以上版本，CVSS風險達到9.8分，相當危險。值得留意的是，Mozilla基金會同時針對Firefox延伸支援版本（ESR）發布128.8版修補這項漏洞，並指出收信軟體Thunderbird也受到影響。

附帶一提的是，Mozilla也在Firefox ESR 115.21、128.8版修補重大層級的漏洞CVE-2024-43097，此漏洞最早是去年12月Google揭露，他們為安卓作業系統進行修補，並指出該漏洞為權限提升漏洞。問題都源於兩種系統使用的圖形處理程式庫檔案SkRegion.cpp，當中的resizeToAtLeast函式出現整數溢位錯誤，而有可能會造成越界寫入（OBW）的情況。