На 15 април 2025 г. технологичните гиганти Google и Mozilla обявиха нови актуализации за браузърите Chrome и Firefox, насочени към уязвимости с висока и критична степен на опасност, които потенциално могат да бъдат експлоатирани от злонамерени хакери.
Версиите 135.0.7049.95/.96 за Windows и macOS, както и 135.0.7049.95 за Linux, включват кръпки за две уязвимости, свързани с управлението на паметта, докладвани от външни изследователи:
CVE-2025-3619 – критична уязвимост тип heap buffer overflow в компонента Codecs.
CVE-2025-3620 – use-after-free грешка в USB, която може да доведе до изпълнение на зловреден код.
Макар Google да не е предоставил подробности за начина на експлоатация, тези уязвимости най-вероятно могат да бъдат използвани чрез отваряне на специално създадена уеб страница, която експлоатира начините на разпределение на паметта в браузъра.
Mozilla пусна Firefox 137.0.2 с поправка за:
CVE-2025-3608 – уязвимост от тип race condition в nsHttpTransaction, който обработва HTTP заявки.
При успешна експлоатация може да настъпи повреда на паметта, което от своя страна отваря врата за по-сериозни атаки.
Освен браузъра, Mozilla актуализира и пощенския клиент Thunderbird (версии 137.0.2 и ESR 128.9.2), за да премахне две уязвимости с висока опасност и една със средна:
CVE-2025-3522 – при работа с външни прикачени файлове, Thunderbird не валидира URL адреса, използван за проверка на размера. Това позволява достъп до вътрешни ресурси, което може да доведе до изтичане на хеширани Windows креденшъли.
CVE-2025-2830 – чрез манипулирани имена на файлове в multipart съобщения може да се предизвика показване на списък с файлове от директорията /tmp, ако имейлът бъде редактиран или препратен.
Допълнителна уязвимост със средна тежест също е адресирана, макар и без допълнителни детайли.
Към момента няма потвърждение, че някоя от тези уязвимости е била използвана в реална атака. Въпреки това Google и Mozilla категорично препоръчват на потребителите да инсталират актуализациите възможно най-скоро, тъй като подобни уязвимости често се използват бързо, след като станат публично достояние.
Обновете Chrome до версия 135.0.7049.95 или .96, в зависимост от платформата.
Обновете Firefox до 137.0.2.
Ако използвате Thunderbird – уверете се, че сте с последната версия (137.0.2 или ESR 128.9.2).
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
