3月4日Google、Mozilla基金会发布浏览器大改版Chrome 134及Firefox 136，修补高风险层级的资安漏洞，用户应儘速升级。

本次Google发布的134版Chrome当中，一共修补9项弱点，其中的CVE-2025-1914评为高风险层级，其余有6个为中度风险、2个低风险层级，Google向通报漏洞的研究人员颁发2.7万美元奖励，其中有7,000美元是颁给通报CVE-2025-1914的Zhenghang Xiao、Nan Wang。

针对CVE-2025-1914这项弱点，是出现在JavaScript引擎V8的记忆体越界读取（OBR）漏洞，远端攻击者可利用特製的HTML网页触发，从而达到越界存取的行为，CISA评估此漏洞风险值为8.8（满分10分）。

值得留意的是，虽然Google评估大部分漏洞的危险程度仅有中度或低度，但是CISA认为有些漏洞的危险性可能被低估，他们指出CVE-2025-1916、CVE-2025-1918、CVE-2025-1919危险程度和CVE-2025-1914相同，都达到8.8分，CVE-2025-1915也达到高风险层级，危险程度为8.1分，而这些漏洞Google都评为中度风险。

Mozilla基金会同日发布Firefox 136，总共修补15项漏洞，其中有8项高风险漏洞、5项中度层级弱点，以及2项低风险弱点。

根据CISA评分，最危险的是CVE-2025-1932，这项漏洞存在于处理可延伸样式表转换语言（XSLT）的元件，一旦攻击者触发，就有机会造成越界存取，这项漏洞影响Firefox 122以上版本，CVSS风险达到9.8分，相当危险。值得留意的是，Mozilla基金会同时针对Firefox延伸支援版本（ESR）发布128.8版修补这项漏洞，并指出收信软件Thunderbird也受到影响。

附带一提的是，Mozilla也在Firefox ESR 115.21、128.8版修补重大层级的漏洞CVE-2024-43097，此漏洞最早是去年12月Google揭露，他们为安卓作业系统进行修补，并指出该漏洞为权限提升漏洞。问题都源于两种系统使用的图形处理程序库文件SkRegion.cpp，当中的resizeToAtLeast函式出现整数溢位错误，而有可能会造成越界写入（OBW）的情况。