Google i Mozilla objavili su zakrpe za više kritičnih ranjivosti koje pogađaju Chrome i Firefox.
Nova verzija Chrome-a 139 ispravlja kritičnu ranjivost out-of-bounds write u V8 JavaScript engine-u, evidentiranu kao CVE-2025-9132. Problem se mogao eksploatisati daljinski preko posebno kreiranih HTML stranica, a otkriven je od strane Google-ovog Big Sleep AI agenta, koji je lansiran od strane Google DeepMind i Project Zero u novembru 2024.
Google nije podijelio dodatne detalje o CVE-2025-9132, ali je prošlog mjeseca saopštio da Big Sleep može da pronađe ranjivosti koje hakeri već poznaju i planiraju da iskoriste, čime se industriji omogućava da spriječi njihovu zloupotrebu.
Ispravke za ovu ranjivost u V8 engine-u uključene su u Chrome verzije 139.0.7258.138/.139 za Windows i macOS, kao i u verziju 139.0.7258.138 za Linux, koje će uskoro biti dostupne svim korisnicima.
Istog dana, Mozilla je objavila zakrpe za devet bezbjednosnih propusta u Firefox-u, od kojih je pet označeno kao kritično. Takođe su objavljene nove verzije Thunderbird-a i Firefox ESR-a koje adresiraju dio ovih ranjivosti.
Među kritičnim propustima nalaze se korupcija memorije u GMP procesu koja omogućava sandbox escape (CVE-2025-9179), zaobilaženje same-origin politike u grafičkoj komponenti (CVE-2025-9180), kao i više grešaka u memorijskoj bezbjednosti koje mogu dovesti do daljinskog izvršavanja koda (CVE-2025-9187, CVE-2025-9184 i CVE-2025-9185).
Preostale ranjivosti obuhvataju propust srednje težine vezan za neinicializovanu memoriju, kao i niskorizične probleme poput spoofing-a i denial-of-service (DoS) napada.
Ispravke za ove bezbjednosne propuste uključene su u Firefox 142, Thunderbird 142, Thunderbird 140.2, Thunderbird 128.14, Firefox za iOS 142, Focus za iOS 142, Firefox ESR 140.2, Firefox ESR 128.14 i Firefox ESR 115.27.
Google i Mozilla nisu prijavili da su ove ranjivosti aktivno eksploatisane u napadima, ali korisnicima se savjetuje da što prije ažuriraju svoje pretraživače i email klijente.
Izvor: SecurityWeek
