Firefox 145 i Chrome 142 łatają luki o wysokiej wadze — co dokładnie naprawiono i jak gwałtownie się zabezpieczyć

Wprowadzenie do problemu / definicja luki

11–12 listopada 2025 r. Mozilla i Google opublikowały stabilne aktualizacje przeglądarek Firefox 145 oraz Chrome 142, które usuwają istotne podatności bezpieczeństwa.

• Chrome 142.0.7444.162/.163 (Windows), .162 (macOS/Linux) naprawia błąd w silniku V8 sklasyfikowany jako „high” (CVE-2025-13042).
• Firefox 145 łata 16 podatności, w tym 9 o wysokiej wadze, głównie w obszarach Graphics/WebGPU, WebAssembly i JS JIT; część błędów to problemy z warunkami brzegowymi i wyścigiem, a także zbiorcze błędy bezpieczeństwa pamięci (CVE-2025-13021…13027).

Dodatkowo Firefox 145 wprowadza rozszerzone mechanizmy anty-fingerprinting, które znacząco utrudniają śledzenie użytkowników.

W skrócie

• Chrome 142: jedna poprawka bezpieczeństwa „high” w V8 (CVE-2025-13042). Aktualizacja jest niewielka, ale ważna.
• Firefox 145: 16 łatek, z czego 9 „high”; pięć dotyczy WebGPU (warunki brzegowe), jedna to race condition w grafice, jedna podatność w WebAssembly, jedna JIT miscompilation, plus zbiorcze błędy bezpieczeństwa pamięci.
• Prywatność: nowe zabezpieczenia Firefoksa przeciw fingerprintingowi (na starcie w trybach Private/ETP Strict), istotnie ograniczają unikatowość odcisku przeglądarki.

Kontekst / historia / powiązania

Firefox od kilku wersji intensywnie rozwija WebGPU oraz równolegle twarde zabezpieczenia prywatności (ETP, Total Cookie Protection, anti-fingerprinting). W wydaniu 145 te dwa wątki „spotykają się”: z jednej strony naprawy błędów renderera, z drugiej — kolejne warstwy utrudniające identyfikację urządzenia.
Chrome cyklicznie dostarcza szybkie poprawki V8; choćby pojedyncza łatka „high” bywa krytyczna ze względu na ryzyko zdalnej eksploatacji przez złośliwy JS.

Analiza techniczna / szczegóły luki

Chrome 142 (V8)

• CVE-2025-13042 – Inappropriate implementation in V8 (High): błąd implementacyjny w silniku JavaScript. Google ogranicza szczegóły do czasu szerokiego wdrożenia aktualizacji (standardowa praktyka), ale klasa ta często umożliwia DoS lub choćby remote code execution w kontekście renderera przy odpowiednio spreparowanym skrypcie. Wersje: 142.0.7444.162/.163 (Windows), .162 (macOS/Linux).

Firefox 145 (pakiet poprawek)

Najważniejsze elementy z MFSA 2025-87:

• WebGPU / Graphics – incorrect boundary conditions (High): CVE-2025-13021, -13022, -13025 oraz dwa przypadki z potencjałem sandbox escape (CVE-2025-13023, -13026). Problemy z walidacją zakresów i granic buforów/tekstur mogą prowadzić do naruszenia pamięci.
• Race condition w Graphics (High): CVE-2025-13012 — typowa klasa błędu deterministycznie trudna do reprodukcji, ale ryzykowna w kontekście równoległego przetwarzania grafiki.
• WebAssembly (High): CVE-2025-13016 — nieprawidłowe warunki brzegowe w komponencie WebAssembly. Może skutkować niepoprawnymi odwołaniami do pamięci.
• JS JIT miscompilation (High): CVE-2025-13024 — błąd kompilatora JIT może generować nieprawidłowy kod maszynowy, potencjalnie umożliwiając obejście mechanizmów bezpieczeństwa.
• Memory safety bugs (High): CVE-2025-13027 — zbiorcza kategoria błędów bezpieczeństwa pamięci naprawiona w 145 (dotyczy też Thunderbird 145).

Uwaga: Mozilla i Google nie raportują na dziś potwierdzonych ataków „in the wild” dla wymienionych CVE, ale okno na odwrócenie łat (patch diffing) jest realne — szybka aktualizacja ma znaczenie.

Prywatność w Firefox 145

Nowe zabezpieczenia anty-fingerprinting standaryzują i/lub szumią część sygnałów identyfikacyjnych (m.in. rozdzielczość, czcionki, wskaźniki sprzętowe), obniżając odsetek unikatowych odcisków przeglądarki w testach Mozilli; startowo w Private Browsing i ETP Strict, z planem rozszerzeń.

Praktyczne konsekwencje / ryzyko

• Ryzyko zdalne przez zawartość web: klasy V8/WebGPU/WebAssembly/JIT to typowy wektor przez złośliwy JS/WebGPU/WASM uruchamiany przy samej wizycie na stronie.
• Escape’y z piaskownicy (CVE-2025-13023/-13026) zwiększają konsekwencje udanego ataku na renderer (potencjalnie dostęp do zasobów systemowych użytkownika).
• Łatwość weaponizacji: po publikacji binarek i commitów rośnie ryzyko stworzenia PoC na bazie różnic w kodzie (diff). W praktyce okno kilku–kilkunastu dni to czas najwyższego ryzyka dla niezałatanych środowisk.

Rekomendacje operacyjne / co zrobić teraz

1) Pilna aktualizacja (end-user i fleet)

GUI:

• Chrome: Menu → Help → About Google Chrome (uruchomi auto-update).
• Firefox: Menu → Pomoc → O programie Firefox.

CLI (pojedyncze stacje):

# Windows (winget) winget upgrade --id Google.Chrome --source winget winget upgrade --id Mozilla.Firefox --source winget # macOS (Homebrew) brew update && brew upgrade --cask google-chrome firefox # Ubuntu/Debian (repozytoria producentów) sudo apt-get update sudo apt-get install --only-upgrade google-chrome-stable firefox # RHEL/Fedora sudo dnf upgrade google-chrome-stable firefox

2) Weryfikacja wersji w organizacji

Windows/PowerShell (skan szybki):

# Chrome Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" -ErrorAction SilentlyContinue | Select-Object DisplayVersion # Firefox (64-bit) Get-ItemProperty "HKLM:\Software\Mozilla\Mozilla Firefox" -ErrorAction SilentlyContinue | Select-Object CurrentVersion

macOS (Chrome/Firefox):

# Chrome defaults read "/Applications/Google Chrome.app/Contents/Info.plist" CFBundleShortVersionString # Firefox defaults read "/Applications/Firefox.app/Contents/Info.plist" CFBundleShortVersionString

Linux (wersje):

google-chrome --version firefox --version

3) Polityki enterprise — wymuś auto-update i wersje docelowe

• Chrome: użyj szablonów ADMX/Intune, ustaw AutoUpdateCheckPeriodMinutes, UpdateDefault i (opcjonalnie) TargetVersionPrefix zgodny z 142.0.7444.
• Firefox: zarządzaj przez GPO / policies.json (Firefox for Enterprise). Dokumentacja: egzekwowanie polityk i dystrybucja w środowiskach korporacyjnych.

4) Obejścia ryzyka (opcjonalnie, tymczasowo — do czasu pełnego patchowania)

Tylko jeżeli musisz utrzymać ekspozycję do czasu rollout’u aktualizacji.

Firefox — ogranicz WebGPU:

• Ręcznie (pojedynczy host): about:config → ustaw dom.webgpu.enabled=false.
• Enterprise: dystrybuuj preferencję poprzez policies.json/GPO (Preference/Policies).
  To ogranicza funkcjonalność WebGPU, ale redukuje powierzchnię ataku z klas „incorrect boundary conditions”/„sandbox escape”. (Preferencja jest znana i używana do sterowania WebGPU).

Chrome: brak sensownego obejścia dla błędu w V8 poza szybką aktualizacją i twardymi zasadami przeglądania (uBO/NoScript, izolacja profili o podwyższonym ryzyku).

5) Monitoring / detekcja

• EDR/SIEM: flaguj nowe procesy przeglądarki uruchamiane z nietypowymi argumentami, podejrzane child-processy (np. droppery spoza katalogów profilu), anomalia w bibliotekach GPU/ANGLE/WASM.
• Hunt: krótkie okna czasowe wzrostu crashy w procesach renderera po wejściu na tę samą stronę mogą wskazywać na próby DoS/wykrywanie wersji.

Różnice / porównania z innymi przypadkami

• Jedna „high” w Chrome vs. wiele „high” w Firefox: tu Firefox ma większą liczbę łatek, ale to odzwierciedla intensywny rozwój WebGPU/JIT — komponentów historycznie „wrażliwych”. Nie oznacza automatycznie, iż Firefox jest „mniej bezpieczny”, raczej iż zwiększono pokrycie fuzzingiem i twardo łata się powierzchnię ataku.
• Prywatność: Firefox 145 przynosi wymierne wzmocnienia anty-fingerprinting (niedostępne w takim kształcie w Chrome), co dla organizacji privacy-by-design ma realną wartość.

Podsumowanie / najważniejsze wnioski

1. Zaktualizuj natychmiast do Chrome 142 i Firefox 145; choćby pojedyncza łatka V8 „high” jest krytyczna operacyjnie.
2. Firefox 145 zamyka szereg luk w WebGPU/WASM/JIT; dwie z nich mają potencjał sandbox escape — to istotny powód do szybkiego rollout’u.
3. Dodatkowy plus: lepsza prywatność w Firefox 145 dzięki nowym zabezpieczeniom anty-fingerprinting (na starcie w Private/ETP Strict).

Źródła / bibliografia

• Chrome Releases – Stable Channel Update for Desktop (11 listopada 2025): wersje i CVE-2025-13042. (Chrome Releases)
• Mozilla Foundation Security Advisory MFSA 2025-87 – Security Vulnerabilities fixed in Firefox 145 (lista CVE). (Mozilla)
• Firefox 145 – Release Notes (nowości/funkcje). (firefox.com)
• Mozilla Blog – Firefox expands fingerprinting protections (opis nowych zabezpieczeń prywatności). (Mozilla Blog)
• SecurityWeek – przegląd aktualizacji Chrome 142 i Firefox 145 (kontekst rynkowy). (SecurityWeek)