O Google e a Mozilla publicaram atualizações para o Chrome 135 e o Firefox 137, corrigindo diversas vulnerabilidades de segurança, incluindo falhas de alta gravidade relacionadas à memória. O Chrome 135 trouxe 14 correções de segurança, das quais nove foram relatadas por pesquisadores externos. O problema mais crítico, identificado como CVE-2025-3066, envolve uma falha de uso após liberação (use-after-free) no sistema de navegação. Além disso, a atualização abordou quatro falhas de gravidade média, como implementações inadequadas em guias personalizadas, intenções e extensões, além de validação insuficiente de entrada não confiável em extensões. Também foram corrigidos quatro bugs de baixa gravidade em funções como navegação, preenchimento automático e downloads.
Leia também
Empresa oferece US$ 4M por exploit do Telegram
Falhas graves em GRUB2, U-Boot e Barebox
O Google pagou US$ 18.000 em recompensas para os pesquisadores que identificaram essas falhas, incluindo um pagamento de US$ 10.000 a Philipp Beer (TU Wien) por um problema de implementação inadequada em guias personalizadas. O valor total pago pode ser ainda maior, já que a recompensa para a falha mais crítica não foi divulgada. O Chrome 135 está sendo distribuído na versão 135.0.7049.52 para Linux e 135.0.7049.41/42 para Windows e macOS.
Já o Firefox 137 recebeu correções para oito falhas de segurança, sendo três delas classificadas como de alta gravidade. Entre elas, destaca-se a CVE-2025-3028, um uso após liberação acionado pelo XSLTProcessor, além de bugs de segurança de memória que poderiam permitir a execução remota de código, rastreados coletivamente como CVE-2025-3030 e CVE-2025-3034.
A Mozilla também lançou o Firefox ESR 128.9, Firefox ESR 115.22, Thunderbird 137 e Thunderbird ESR 128.9, corrigindo a maioria das falhas identificadas no Firefox. Entre os problemas de gravidade média e baixa, foram abordadas vulnerabilidades que poderiam levar à divulgação de informações, falsificação da barra de URL e upload de arquivos arbitrários ao abrir atalhos .url no Windows.
Embora nem o Google nem a Mozilla tenham mencionado a exploração ativa dessas vulnerabilidades, os usuários são fortemente recomendados a atualizar seus navegadores o mais rápido possível para garantir proteção contra possíveis ataques.
