本周,谷歌和 Mozilla 相继发布了针对 Chrome 和 Firefox 浏览器的最新安全更新,修复了 17 个安全漏洞,其中 10 个被标记为高严重性漏洞。这些更新为用户提供了更高的安全性,特别是在当今网络威胁日益增长的环境下。
Chrome 安全更新概览
谷歌 Chrome 的新版本现已向 Windows 和 macOS 用户推出(版本 129.0.6668.89/.90),向 Linux 用户推出(版本 129.0.6668.89),修复了四个安全缺陷。这些缺陷中有三个是由外部安全研究人员报告的高严重漏洞:
- Layout 中的整数溢出:这一漏洞可能导致浏览器内存被破坏,潜在引发崩溃或远程代码执行。
- Mojo 中的数据验证不充分:由于该组件没有进行充分的数据验证,攻击者可能会利用这一漏洞获取用户数据。
- V8 JavaScript 引擎的不适当实现:V8 是 Chrome 的核心组件,处理 JavaScript 脚本时的漏洞可能导致任意代码执行。
谷歌透露,已经为发现整数溢出漏洞的研究人员提供了 10,000 美元的漏洞赏金,但尚未决定其他两个漏洞的奖励金额。尽管这些漏洞是否被实际利用尚未得到确认,但用户仍被强烈建议尽快更新至最新版本。
Firefox 安全更新概览
Mozilla 本周也发布了 Firefox 131 的稳定版更新,修复了 13 个安全漏洞,其中 7 个是高严重性漏洞。这些高风险漏洞中,有三个主要影响 Android 用户:
- 无法退出全屏模式:攻击者可能通过全屏模式欺骗用户并执行恶意操作。
- 跨域访问 PDF 内容:这可能允许攻击者访问用户设备上的敏感信息。
- 通过多部分响应跨域访问 JSON 内容:此漏洞可能会让攻击者读取跨域数据,从而造成潜在的信息泄露。
除此之外,Mozilla 还修复了一个可能通过受损的内容进程导致跨源页面任意加载的漏洞,这可能给攻击者提供一个入侵浏览器的入口。
值得注意的是,除了高严重性漏洞外,Firefox 131 还修复了六个中低严重性的漏洞,以及三个可能被用来执行任意代码的内存安全漏洞。
附加更新:Firefox ESR 和 Thunderbird
除了 Firefox 131,Mozilla 还发布了 Firefox ESR 版本 128.3 和 115.16 以及 Thunderbird 版本 131 和 128.3。这些版本包含了与 Firefox 131 相同的安全修复,确保用户的浏览体验和电子邮件客户端的安全性。
虽然 Mozilla 也没有提到这些漏洞是否被利用,但仍建议用户尽快更新浏览器和 Thunderbird 电子邮件客户端,以确保设备安全。
安全性是关键
此次 Chrome 和 Firefox 的安全更新表明,网络安全威胁依旧严峻。无论是通过浏览器漏洞执行任意代码,还是访问跨域内容,这些漏洞都可能对用户隐私和数据安全造成严重影响。定期更新浏览器和软件是保护个人和企业数据免受攻击的重要步骤。
