Chrome 150 與 Firefox 152 修補高風險漏洞
Chrome 150 與 Firefox 152 釋出安全更新。Firefox 修補 2 個已公開利用的漏洞,Chrome 則修掉 15 個問題,企業和一般使用者都該立刻更新。

Chrome 150 和 Firefox 152 都在修高風險漏洞,Firefox 還碰上已公開利用碼,這次更新不能拖。
Firefox 152.0.6 和 Chrome 150 幾乎同時釋出安全更新。Mozilla 修了 2 個嚴重漏洞,Google 則修了 15 個問題。這種更新通常不只是版本號換新,背後常代表攻擊面正在被盯上。
這次最刺眼的地方,是 Firefox 的兩個漏洞都已經有公開 exploit code。Chrome 的修補數量更多,涵蓋渲染、圖形、媒體和 JavaScript 執行。對一般使用者來說,這是「先更新再說」的等級。對企業來說,這是要立刻推送到更新管線的等級。
| Browser | Version | Security fixes | Critical issues | Notable details |
|---|---|---|---|---|
| Firefox | 152.0.6 | 2 | 2 | 兩個漏洞都有公開 exploit code |
| Chrome | 150.0.7871.124/.125 | 15 | 2 | 兩個 use-after-free 發生在 Ozone |
| Chrome for Linux | 150.0.7871.124 | 15 | 2 | 與 Windows、macOS 使用同一組修補 |
Firefox 這次的警訊比較直接
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
Firefox 這次修補的數量不多,但風險很高。Mozilla 修了 CVE-2026-15718 和 CVE-2026-15719,兩個都被列為嚴重問題。更麻煩的是,Mozilla 明確提到這兩個漏洞的 exploit code 已經公開。

第一個漏洞是 JavaScript: WebAssembly 元件的 invalid pointer 問題。第二個是 DOM: Navigation 的 site isolation 問題。這兩種位置都很敏感,因為瀏覽器每天都在處理不受信任的內容。只要記憶體處理出錯,原本只是開網頁,就可能變成攻擊入口。
Mozilla 的公告文字也很直白。公司寫到,已知這些漏洞的 exploit code 已公開,但目前沒有看到實際攻擊案例。這句話的意思很清楚:工具已經流出去,真正落地只是時間問題,至少對防守方來說,不能再用「等等看」的心態處理。
“We are aware that exploit code for this is public however we are not aware of any attacks in the wild abusing this flaw,” Mozilla says in its advisory.
如果你的團隊還允許舊版 Firefox 在員工電腦上跑,這次真的該把更新排進最高優先序。瀏覽器漏洞的麻煩在於,它不需要使用者安裝奇怪軟體,只要開一個惡意頁面就可能中招。這種風險在企業環境裡特別討厭,因為它常常先碰到登入憑證,再往內部系統延伸。
- Firefox 152.0.6 直接修 2 個嚴重漏洞。
- 兩個漏洞都有公開 exploit code。
- 問題點分布在 WebAssembly 和 DOM Navigation。
- 這類漏洞常和瀏覽器遠端攻擊連在一起。
Chrome 150 修得更多,核心問題還是記憶體安全
Google Chrome 150 一共修了 15 個漏洞,其中 2 個是 critical 等級的 use-after-free,編號是 CVE-2026-15764 和 CVE-2026-15765。另外還有 12 個 high-severity 問題,分散在 Skia、Libyuv、HTML-in-Canvas、Linux Toolkit Theming、V8、Media、GPU、Core 和 UI。
這份清單看起來很雜,其實很有代表性。瀏覽器最容易出事的地方,通常就是圖形渲染、媒體處理、JavaScript 執行和輸入驗證。這些區塊追求速度,也追求複雜功能,結果就是 memory-safety 問題反覆出現。Chrome 這次修到 use-after-free,算是老問題又冒出來。
Google 也列出不少常見缺陷類型,包括 uninitialized use、heap buffer overflow、insufficient policy enforcement、insufficient validation of untrusted input。這些詞看起來很工程,但翻成人話就是:程式在處理外部資料時,沒有把邊界守乾淨。
- Chrome 150 一次修 15 個漏洞。
- 其中 2 個是 critical 的 use-after-free。
- 12 個 high-severity 分布在多個元件。
- 修補範圍橫跨 V8、GPU、Media 和 UI。
Google 沒有說這些漏洞是否已在野外被利用。這種沉默通常比公告更難解讀,但對使用者來說,結論其實一樣:先更新。當瀏覽器本身就是攻擊面時,拖一天都可能讓攻擊者多一天準備時間。
兩家都在補洞,差別在風險訊號
把 Firefox 和 Chrome 放在一起看,差異很明顯。Firefox 修補數量少,但有公開 exploit code,風險訊號非常直接。Chrome 修補數量多,代表它在多個元件裡做了較大範圍的清理。兩者都重要,但緊急感的來源不太一樣。

從實務角度看,Firefox 的問題更像「已經有人拿到工具」。Chrome 的問題更像「攻擊面太大,該整理的地方很多」。前者會讓資安團隊先拉警報,後者會讓維運團隊開始排更新節奏。兩者最後都指向同一件事:瀏覽器不能拖。
如果你是 IT 管理員,這次更新最好直接進強制推送。若你是個人使用者,重啟瀏覽器也不要省。很多人會把瀏覽器更新當成小事,因為它不像作業系統更新那麼有存在感,但實際上,攻擊者常常先挑瀏覽器下手。
- Firefox 152.0.6 是這次比較急的更新。
- Chrome Releases 公布 150.0.7871.124/.125。
- Linux 版本是 150.0.7871.124。
- 企業環境最好縮短更新佈署週期。
我覺得這類事件最煩的地方,不是漏洞本身,而是很多團隊會把瀏覽器更新排在後面。結果就是,明明補丁已經出來,使用者卻還在跑舊版。這種落差才是實際風險來源。
瀏覽器安全一直在跟記憶體錯誤拔河
如果你常看瀏覽器漏洞公告,會發現類型其實很固定。use-after-free、heap buffer overflow、invalid pointer,這些名字一直出現。原因很簡單,瀏覽器的程式碼量大,功能又多,還要同時處理高效能與複雜互動,出錯機率自然不低。
Chrome 這次的修補範圍也再次證明,現代瀏覽器不是單一產品,而是一整套執行環境。V8、GPU、Media、UI、渲染管線,每一層都可能成為入口。Firefox 也一樣,JavaScript、WebAssembly、DOM 這些地方一旦出錯,影響就可能直接碰到使用者資料。
對開發者來說,這件事也有提醒作用。即使你不是在寫瀏覽器核心,也會碰到類似的記憶體安全問題。C/C++、圖形處理、系統工具、跨平台元件,這些領域都還在跟同一批老毛病纏鬥。安全更新看起來像新聞,實際上是整個軟體工程的日常帳單。
這次更新對台灣團隊的實際意義
台灣很多公司都把 Chrome 當預設瀏覽器,Firefox 則常出現在開發機、測試環境或特定部門。這代表更新策略不能只看單一產品,而要把瀏覽器納入端點管理流程。尤其是有遠端工作、BYOD 或混合辦公的團隊,瀏覽器常常比內網系統更早接觸外部風險。
如果你在管資料、帳號或 API 入口,這次更新更不能輕忽。瀏覽器漏洞一旦被利用,常見後果不是畫面當掉,而是 session 被偷、憑證被拿、內部系統被橫向移動。這種後續成本,遠高於一次版本更新。
我的建議很直接:先確認版本,再確認自動更新有沒有真的生效。Firefox 看 152.0.6,Chrome 看 150.0.7871.124 或 150.0.7871.125。若你的環境有分批更新,就把這次的排程往前挪,別讓舊版在機器上多活幾天。
現在該做什麼
最實際的動作只有一個:把瀏覽器更新排到今天。Firefox 的公開 exploit code 已經讓風險更明確,Chrome 的 15 個修補也不是小事。這種情況下,等下一個維護窗口通常沒什麼道理。
如果你是管理者,順手檢查一下更新政策、重啟提示和自動部署。很多事故不是因為沒有補丁,而是因為補丁卡在使用者沒重啟。把這個流程處理好,通常比事後追 log 省事得多。
下一波我會先看兩件事:這些漏洞是否開始出現在攻擊工具裡,以及企業端的更新速度能不能跟上。只要其中一邊慢了,瀏覽器漏洞就會從新聞變成事件。