Браузеры (новости, обсуждение)

[сергей 999s]

Google объявил о закрытии многих технологий Privacy Sandbox

Google объявил о закрытии большинства технологий Privacy Sandbox — инициативы, которая должна была заменить сторонние файлы cookie в Chrome и Android. Компания отказалась от таких решений, как Attribution Reporting, IP Protection, Protected Audience, Topics и других

Спойлер   :

Когда Google в 2020 году объявил о прекращении поддержки сторонних файлов куки в Chrome и представил свои планы по инициативе Privacy Sandbox, компания, вероятно, не ожидала, что встретит столь сильное сопротивление. Хотя большинство пользователей одобряли идею избавиться от сторонних куки в Интернете, сама концепция Privacy Sandbox оказалась совсем не такой безобидной, как звучало.

Одной из ключевых идей этих технологий был переход от отслеживания отдельных пользователей к отслеживанию групп. По словам Google, такой подход должен был сделать Интернет безопаснее для пользователей. На деле это все равно оставалось отслеживанием — только в другой форме. Остальные компоненты также подвергались критике — особенно потому, что выглядело так, будто Google получает еще больше власти и контроля над интернет-пространством.

20 октября 2025 года Google объявил о прекращении работы сразу ряда технологий Privacy Sandbox, а именно:

Attribution Reporting API (Chrome и Android)
IP Protection
On-Device Personalization
Private Aggregation (включая Shared Storage)
Protected Audience (Chrome и Android)
Protected App Signals
Related Website Sets (включая requestStorageAccessFor и Related Website Partition)
SelectURL
SDK Runtime
Topics (Chrome и Android).
Все эти технологии отключат и постепенно уберут из браузера, если они уже были туда внедрены.

Некоторые разработки, напротив, останутся. Среди них — CHIPS и FedCM, которые, по утверждению Google, «улучшают конфиденциальность и безопасность куки» и уже получили широкое распространение. Вот что они собой представляют:

Cookies Having Independent Partitioned State (CHIPS) — ограничивает доступ сторонних файлов куки только доменом верхнего уровня, на котором они были созданы. Иными словами, другие сайты не смогут получить доступ к этим данным.
Federated Credential Management API (FedCM) — направлен на улучшение процесса аутентификации и входа на сайты с использованием уже существующих аккаунтов доверенных сервисов, при этом сохраняя личные данные пользователей в безопасности.
Также продолжит поддерживаться технология Private State Tokens, которая позволяет сайтам передавать «доверие» из одного контекста в другой. Google утверждает, что это помогает «бороться с мошенничеством и отличать настоящих пользователей от ботов — без пассивного отслеживания».

[сергей 999s]

Выпуск браузерного движка Servo 0.0.1

Опубликован первый отдельный выпуск браузероного движка Servo, написанного на языке Rust. До сих пор проектом формировались только ночные сборки. В примечании к выпуску отмечено только то, что по функциональности он аналогичен ночной сборке от 19 октября, для которой проведено дополнительное ручное тестирование. Выпуск также ознаменовал начало формирования сборок для систем Apple с macOS на базе процессоров с архитектурой ARM. Готовые сборки предоставлены для Linux, Android, macOS и Windows.

Движок изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender. На базе Servo развивается демонстрационный браузер ServoShell.

[сергей 999s]

Релиз Opera 123: улучшенная история, импорт вкладок и обновления безопасности

Opera 123 получила обновлённое ядро Chromium 139.0.7258.156, поддержку импорта открытых вкладок из Chrome, Edge и Opera GX, улучшенную страницу истории и важные исправления безопасности и стабильности для Windows и macOS.

Спойлер   :

Компания Opera выпустила стабильную версию браузера Opera 123 с обновлённым ядром Chromium, улучшенным интерфейсом страницы истории, исправлениями ошибок и важными патчами безопасности. Обновление доступно для Windows, macOS и Linux.

Основные изменения в Opera 123
Обновление ядра Chromium: браузер основан на версии Chromium 139.0.7258.156, что обеспечивает совместимость с последними веб-стандартами и улучшенную производительность.
Импорт открытых вкладок: теперь при настройке Opera можно легко перенести текущие открытые вкладки из других браузеров — Chrome, Opera GX и Microsoft Edge.
Обновления безопасности: исправлены уязвимости в компонентах JSON.parse и Safe Browsing, унаследованные от Chromium.
Более стабильная работа: устранены случайные сбои и зависания при работе с вкладками, воспроизведении мультимедиа, переводе страниц и настройках.
Обновлённая страница истории: улучшено визуальное оформление и отзывчивость элементов. Исправлены фильтры, выбор дат и кнопки панели действий.
Улучшенная визуальная консистентность: тёмная тема стала более однородной, улучшено выравнивание элементов, обновлены контуры и сделаны заметнее элементы управления во всплывающих окнах и подсказках.
Исправления для macOS и Windows: на macOS восстановлено корректное поведение окон, на Windows исправлен поиск в полноэкранном режиме и улучшено расположение элементов управления видео.

Подробнее об изменениях
С полным списком изменений и исправлений можно ознакомиться в официальном журнале изменений Opera 123.[/spoile]

[сергей 999s]

Выпуск web-браузера Chrome 142

Компания Google опубликовала релиз web-браузера Chrome 142. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 143 запланирован на 2 декабря.

Спойлер   :

Основные изменения в Chrome 142:

Включена защита от обращения к локальной системе при взаимодействии с публичными сайтами. При обращениях с сайта в публичной или внутренней сети (интранет) к IP-адресам локальной системы или loopback-интерфейсу (127.0.0.0/8) браузер будет выводить пользователю диалог с запросом подтверждения операции. Под действия защиты попадают попытки загрузки ресурсов, запросы fetch() и iframe-вставки. Защита пока не применяется для соединений через WebSockets, WebTransport и WebRTC, но будет добавлена для данных технологий позднее.
Обращение к внутренним ресурсам используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети.

Предложен единый упрощённый интерфейс для привязки к учётной записи в Google и синхронизации данных, таких как сохранённые пароли и закладки. Синхронизация интегрирована с входом в учётную запись и не преподносится как отдельная возможность в настройках. Пользователи могут подключить Chrome к учётной записи в Google и использовать её для хранения паролей, закладок, истории посещений и вкладок. Возможность пока активирована для части пользователей, постепенно охват будет увеличиваться.
Задействована новая модель изоляции процессов - "Origin Isolation", при которой каждый источник контента (origin - связка из протокола, домена и порта, например, "https://foo.example.com"), изолируется в отдельном процессе отрисовки. Так как увеличение дробления изоляции может привести к повышению потребления памяти и росту нагрузки на CPU, новый режим изоляции включается только на системах, имеющих больше 4 ГБ ОЗУ. На маломощном оборудовании продолжит использоваться старый подход к изоляции, при котором в отдельном процессе изолируются все разные источники контента, связанные с одним сайтом (например, foo.example.com и bar.example.com).
На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
В версии для Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
В реализации протокола DTLS (Datagram Transport Layer Security, аналог TLS для UDP), применяемой для соединений WebRTC, включено использование алгоритмов постквантового шифрования.
Реализовано сохранение статуса активации, выставляемого при активности пользователя на странице, после перехода на другую страницу с тем же доменом. Сохранение активации упростит разработку многостраничных web-приложений и решит такие проблемы, как выставление фокуса ввода при отображении сайтом своей виртуальной клавиатуры.
В CSS добавлены псевдо-классы ":target-before" и ":target-after" для определения предыдущих и следующих маркеров, относительно текущей позиции прокрутки (":target-current").
В контейнерах стилей ("@container") и функции "if()" разрешено использование синтаксиса диапазонов (Range Syntax), определённого в спецификации Media Queries Level 4 и позволяющего использовать обычные математические операторы сравнения и логические операторы для определения диапазонов значений. Например, теперь можно указывать "@container style(--inner-padding > 1em)" и "background-color: if(style(attr(data-columns, type<number>) > 2): lightblue; else: white);"
В элементы "<button>" и "<a>" добавлена поддержка атрибута "interestfor", при помощи которого можно организовать вызов действий, например, показать всплывающее окно, в ситуациях когда пользователь проявит интерес к элементу. Признаками проявления интереса браузер считает такие ситуации, как наведение и удержание указателя на элементе, нажатие горячих клавиш или удержание касания на сенсорном экране. При выявлении интереса на элементе с атрибутом "interestfor" браузер генерирует событие InterestEvent.
Внесены улучшения в инструменты для web-разработчиков. В верхний правый угол добавлена кнопка для быстрого вызова AI-ассистента. Элемент контекстного меню "Ask AI" переименован в "Debug with AI" и расширен возможностью выполнения непосредственных действий в зависимости от контекста. В web-консоли и панели с кодом AI-ассистент Gemini теперь может генерировать рекомендации с кодом.

[ Гостям не разрешен просмотр вложений ]

В инструментах для web-разработчиков обеспечена интеграция с сервисом GDP (Google Developer Program). Разработчик теперь сможет подключаться к своему профилю в GDP непосредственно из Chrome DevTools и получать бонусы за выполнение определённых работ в данном интерфейсе.

[ Гостям не разрешен просмотр вложений ]

Кроме нововведений и исправления ошибок в новой версии устранены 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 20 премий на сумму 130 тысяч долларов США (две премии 50 тысяч долларов, по одной премии в $10000 и три премии $3000, две премии $2000 и три премии $1000). Размер 8 вознаграждений пока не определён.

Дополнительно можно отметить выявление ещё не исправленной уязвимости в движке Blink, которая приводит к аварийному завершению и зависанию браузера при выполнении определённого JavaScript-кода. Уязвимость вызвана архитектурными проблемами в движке отрисовки, связанными с отсутствием ограничения на интенсивность операций обновления свойства "document.title". Отсутствие ограничений позволяет использовать "document.title" для внесения в DOM десятков миллионов изменений в секунду, что через несколько секунд приводит к зависанию интерфейса из-за блокировки основного потока и значительного потребления памяти, а через 15-60 cекунд браузер аварийно завершает работу.

[сергей 999s]

Google Chrome включит HTTPS по умолчанию в октябре 2026 года

Google включит HTTPS по умолчанию в Chrome в октябре 2026 года. Это значит, что браузер будет автоматически подключаться к сайтам только через защищённый протокол HTTPS, предотвращая перехват и подмену данных. При попытке открыть сайт без HTTPS Chrome покажет предупреждение

Спойлер   :

Google объявляет, что в следующем году браузер Chrome будет использовать HTTPS по умолчанию. Еще два года назад компания представила схожий режим — «HTTPS-first mode».

Данная настройка заставляет Chrome подключаться к сайтам только через защищенный протокол HTTPS. В отличие от HTTP, который передает данные в открытом виде и может быть перехвачен злоумышленниками, HTTPS шифрует соединение между пользователем и сервером. Без шифрования атакующий может подменить страницу, внедрить вредоносный код или перенаправить пользователя на фишинговый сайт. Google отмечает, что обычные HTTP-соединения незаметны для пользователей, и такие переходы могут произойти мгновенно — поэтому легко не заметить подмену.

HTTPS (Hypertext Transfer Protocol Secure) защищает соединение и обеспечивает передачу данных напрямую с сервером сайта. Сегодня подавляющее большинство сайтов поддерживает HTTPS. В 2022 году Google добавила в Chrome опцию, позволяющую принудительно использовать HTTPS. По данным компании, сейчас около 95 % сайтов работают через HTTPS, но оставшиеся 5 % все еще создают значительные риски, особенно среди закрытых или частных ресурсов. Поэтому Google считает, что пришло время включить HTTPS по умолчанию для всех пользователей.

Когда функция активна и пользователь открывает сайт без поддержки HTTPS, Chrome покажет предупреждение о потенциальной опасности страницы. Можно будет выбрать — покинуть сайт или продолжить с риском. Такое предупреждение будет отображаться только при первом посещении ресурса.

[ Гостям не разрешен просмотр вложений ]

Если вы хотите включить функцию уже сейчас, перейдите в Настройки > Конфиденциальность и безопасность > Защищенные подключения или просто вставьте в адресную строку: chrome://settings/security

[ Гостям не разрешен просмотр вложений ]

Там найдите параметр Всегда использовать безопасные соединения — пока он отключен по умолчанию, но Google активирует его автоматически в 2026 году.

Microsoft недавно добавила аналогичный режим HTTPS-first в Edge 140, но он тоже пока не включен по умолчанию. Подобные функции уже есть в Mozilla Firefox, Vivaldi, Safari и Brave.

Google провел эксперимент, включив режим в Chrome 141 для небольшой группы пользователей, посещающих публичные сайты. Количество предупреждений оказалось меньше 3 % от всех переходов — показатель, который компания считает приемлемым.

Дорожная карта включения функции:

Апрель 2026 (Chrome 147): автоматическое включение HTTPS для пользователей, выбравших вариант Улучшенная защита функции Безопасный просмотр.
Октябрь 2026 (Chrome 154): HTTPS станет стандартным режимом для всех пользователей.

[сергей 999s]

Релиз Firefox 145 с расширенной защитой от скрытой идентификации

Состоялся релиз web-браузера Firefox 145 и сформированы обновления прошлых веток с длительным сроком поддержки - 140.5.0 и 115.30.0. На стадию бета-тестирования переведена ветка Firefox 146, релиз которой намечен на 9 декабря.

Спойлер   :

Основные новшества в Firefox 145 (1, 2, 3):

Прекращена поддержка 32-разрядных Linux-систем. Отмечается, что сопровождение Firefox на 32-разрядных платформах становится все более сложным и ненадёжным, при том, что поддержка 32-разрядных сборок уже прекращена в большинстве дистрибутивов Linux. Пользователям 32-разрядных Linux-дистрибутивов рекомендуется перейти на использование 64-разрядных операционных систем. Для тех, кто не может оперативно обновить дистрибутив можно использовать ESR-ветку Firefox 140, обновления с устранением уязвимостей для которой будут формироваться как минимум до сентября следующего года.

Усилено скругление кнопок, вкладок, адресной строки и полей ввода.

Во встроенном PDF-просмотрщике реализована возможность добавления, редактирования и удаления комментариев/примечаний. Для навигации и просмотра имеющихся комментариев добавлена отдельная боковая панель. Во время добавления комментария можно выбирать цвет для его выделения на общем фоне.

При наведении курсора на метку свёрнутой группы вкладок обеспечен показ списка вкладок в группе, при помощи которого можно быстро раскрыть нужную вкладку без предварительного раскрытия всей группы.

Добавлена возможность работы с сохранёнными паролями прямо из боковой панели без необходимости открытия менеджера паролей в отдельном окне или вкладке.

Предложена новая подборка фоновых изображений для страницы открытия новой вкладки, доступных в версиях для светлого и тёмного режимов.

В настройки вкладок добавлена опция для размещения вкладки, создаваемой при открытии ссылок из внешних приложений, рядом с текущей активной вкладкой, а не в конце списка вкладок.

В контекстное меню добавлен пункт "Copy Link to Highlight" позволяющий сформировать ссылку, указывающую на фрагмент текста, выделенный на странице. Для перехода на выбранный текст используются ссылки вида "https://www.example.com #:~:text=маска".
Расширены возможности режима для защиты от скрытой идентификации пользователя (Fingerprinting Protection), применяемого при включении усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict) или при открытии страниц в режиме приватного просмотра. Отмечается, что внесённые изменения позволили почти вдвое сократить эффективность методов скрытой идентификации по сравнению с ранее имевшейся защитой.
Для усиления защиты обеспечен возврат постоянных значений для параметров, которые могут применяться как дополнительный признак для идентификации, а также ограничен доступ к сведениям об оборудовании, таким как число поддерживаемых тачпадом одновременных касаний и число процессорных ядер. Реализована подстановка случайного шума при попытке чтения из скриптов изображений, сгенерированных через элемент canvas. Отключена отрисовка на странице текста с использованием локально установленных нестандартных шрифтов.

В режиме усиленной защиты (strict) от отслеживания перемещений (ETP, Enhanced Tracking Protection) включена по умолчанию защита от отслеживания с использованием редиректов (Bounce Tracking Protection). Механизм Bounce Tracking Protection позволяет отлавливать активность, специфичную для отслеживания через редиректы, и периодически очищать Cookie и локально сохранённые данные, используемые для отслеживания. В отличие от режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа.
Суть метода отслеживания на основе редиректов в том, что код трекера перенаправляет пользователя вначале на свой сайт, а уже с него перебрасывает на целевую страницу, что позволяет трекеру сохранить Cookie и данные в локальном хранилище в привязке к своему сайту. Сохранение данных после перехода на другой сайт позволяет обойти ранее реализованные в браузере методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

Добавлена поддержка контейнеров Matroska (для кодеков AVC, HEVC, VP8, VP9, AV1, AAC, Opus и Vorbis).
Во встроенной системе машинного перевода повышено удобство перевода между языками с разным направлением следования символов. Для сжатия локально устанавливаемых моделей задействован алгоритм Zstandard, позволивший сократить размер загружаемых данных и сэкономить место на локальном накопителе.
В конфигурациях без установленных дополнений нажатие на панельную кнопку доступа к дополнениям теперь приводит к показу пояснения о пользе дополнений со ссылкой на каталог дополнений.

В JavaScript реализован метод Atomics.waitAsync(), предлагающий асинхронную версию метода Atomics.wait(), позволяющую ожидать определения размещения SharedArrayBuffer по аналогии с Atomics.wait(), но с возвращением Promise.
Добавлена поддержка HTTP-заголовков Integrity-Policy и Integrity-Policy-Report-Only, при помощи которых можно осуществлять проверку целостности загружаемых скриптов.
Реализовано CSS-свойство text-autospace, выполняющее автоматическую корректировку расстояния между символами из разных систем письма (например, между латиницей и иероглифами).
В CSS-свойстве font-family реализована поддержка семейства шрифтов "math" для корректной отрисовки математических выражений.
В API ToggleEvent добавлено свойство source, содержащее объект Element, представляющий элемент управления, инициировавший изменение состояния, в ответ на которое было сгенерировано событие Toggle. Например, когда пользователь кликнет на элемент "<button>" с атрибутом "popovertarget" при открытии всплывающего окна будет сгенерировано событие ToggleEvent, свойство "source" в котором позволит понять какой элемент "<button>" был нажат.

В сборках для платформы Windows ярлык для запуска Firefox заменён на отдельное мини-приложение (launcher), которое запускает Firefox, если он уже установлен, или запускает инсталлятор, если его ещё нет в системе.
На компьютерах Apple с чипами Apple Silicon и ОС macOS 26 реализована поддержка API WebGPU.
В Firefox для Android:
Включена обязательная проверка TLS-сертификатов web-серверов в публичных журналах Certificate Transparency, предназначенных для выявления сертификатов, созданных в обход штатных рабочих процессов удостоверяющего центра (например, скрытое создание сертификата в результате злоупотребления сотрудника или компрометации удостоверяющего центра).
Для ускорения проверки отзыва TLS-сертификатов задействован механизм CRLite, работающий на системе пользователя. Хранимая на стороне пользователя БД с информацией о сертификатах периодически синхронизируется с внешней БД Mozilla.
Для TLS 1.3 и HTTP/3 добавлена поддержка гибридного алгоритма обмена ключами "mlkem768x25519", стойкого к подбору на квантовом компьютере и представляющего собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber),
Компоненты сетевого стека для протоколов QUIC и HTTP/3 заменены на реализацию, написанную на языке Rust и отличающуюся более высокой производительностью.
Кроме новшеств и исправления ошибок в Firefox 145 устранено 19 уязвимостей. 10 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

[сергей 999s]

Google устранил уязвимость нулевого дня CVE-2025-13223 в Chrome, которая эксплуатировалась в реальных атаках

Google выпустила экстренное обновление Chrome, исправив уязвимость нулевого дня CVE-2025-13223. Ошибка в движке JavaScript V8 уже использовалась в реальных атаках, о чём сообщил Google TAG. Исправления доступны в версиях 142.0.7444.175/.176 для Windows, macOS и Linux, и их рекомендуется установить как можно скорее

Спойлер   :

Google выпустил экстренное обновление безопасности для исправления уязвимости нулевого дня в Chrome, которая использовалась в атаках в этом году.

В бюллетени по безопасности компания предупредила:

Компания Google осведомлена о том, что эксплойт для CVE-2025-13223 уже существует в реальных условиях.

Эта уязвимость высокой степени опасности вызвана ошибкой смешения типов в движке JavaScript V8, о которой на прошлой неделе сообщил Клеман Лесинь (Clement Lecigne) из команды Threat Analysis Group (TAG) компании Google. TAG Google регулярно выявляет эксплойты нулевого дня, которые используют государственные хакерские группы в шпионских кампаниях против людей из группы риска — журналистов, оппозиционных политиков и диссидентов.

Google закрыл эту уязвимость нулевого дня, выпустив обновления Chrome: 142.0.7444.175/.176 для Windows, 142.0.7444.176 для macOS и 142.0.7444.175 для Linux.

Хотя новые версии будут распространяться среди всех пользователей в стабильном канале в течение ближайших недель, исправление уже доступно для установки.

Несмотря на то, что браузер Chrome автоматически обновляется при выходе обновлений безопасности, пользователи также могут вручную убедиться, что у них установлена последняя версия, перейдя в меню Chrome > Cправка > О браузере Google Chrome, дождаться завершения загрузки обновления, а затем нажать кнопку Перезапустить для завершения установки.

Хотя Google уже подтвердил, что уязвимость CVE-2025-13223 использовалась в атаках, компания пока не раскрыла дополнительные сведения об активной эксплуатации.

Компания отметила:

Доступ к дополнительным сведениям о проблеме и связанным ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновит браузер до исправленной версии. Мы также будем сохранять ограничения, если ошибка затрагивает стороннюю библиотеку, от которой зависят другие проекты, но которая пока не была исправлена.

Это уже седьмая уязвимость нулевого дня в Chrome, использованная в атаках и исправленная Google в этом году. Еще шесть уязвимостей были исправлены в марте, мае, июне, июле и сентябре.

В сентябре и июле компания устранила две активно эксплуатируемые уязвимости нулевого дня (CVE-2025-10585 и CVE-2025-6558), обнаруженные исследователями Google TAG.

В мае Google выпустил дополнительные экстренные обновления безопасности, чтобы исправить уязвимость нулевого дня (CVE-2025-4664), которая позволяла злоумышленникам перехватывать учетные записи. Эти обновления также устранили ошибку чтения и записи данных за пределами буфера (CVE-2025-5419) в движке V8, выявленную Google TAG в июне.

В марте Google также устранил уязвимость высокой опасности, позволяющую выйти из песочницы (CVE-2025-2783), о которой сообщила «Лаборатория Касперского» и которая использовалась в шпионских атаках против российских СМИ и государственных организаций.

[сергей 999s]

Выпуск web-браузера Chrome 143

Компания Google опубликовала релиз web-браузера Chrome 143. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 144 запланирован на 13 января.

Спойлер   :

Основные изменения в Chrome 143:

Объявлена устаревшей и запланирована к отключению в выпуске Chrome 155 поддержка языка преобразования XML-документов XSLT, в том числе объявлены устаревшими API XSLTProcessor и инструкции разбора таблиц стилей XML. В качестве причины упоминаются риски безопасности, вызванные использованием библиотеки libxslt, которая имеет проблемы с сопровождением и является источником совершения атак на браузеры, при том, что доля web-страниц, на которых используется XSLT, оценивается в 0.02%.
Добавлены новые возможности AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. Для перехода в AI-режим, который пока доступен только на платформах macOS и Windows, достаточно нажать клавишу табуляции перед началом ввода в адресной строке.

Библиотека ICU обновлена до версии 77.1 с поддержкой Unicode 16 и обновлением данных локалей.
В CSS добавлен селектор "@container anchored(fallback)", позволяющий менять стиль элементов, привязанных к позиции других элементов, в зависимости от выбранной браузером альтернативной позиции, заданной через свойство "position-try-fallbacks" для предотвращения выхода элемента за границу внешнего блока или области просмотра.
В CSS-свойства "background-position-x" и "background-position-y" добавлена возможность определения позиции фонового изображения относительно одного из краёв блока. Например, "background-position-x: left 30px;".
Добавлено CSS-свойство "font-language-override" для переопределения языка, используемого для замены глифов в шрифтах OpenType, предоставляющих специфичные для определённых языков варианты глифов. Например, 'font-language-override: "RUS";'.
В API WindowEventHandlers добавлена поддержка обработки событий "ongamepadconnected" и "ongamepaddisconnected" для отслеживания подключения и отключения геймпадов.
В JavaScript API для работы с DOM в именах и префиксах создаваемых элементов и атрибутов разрешено использование всех символов, допустимых в парсере HTML.
При использовании API WebTransport разрешено согласование протокола, используемого для взаимодействия сервера с web-приложением (при создании объекта WebTransport приложение может указать список допустимых протоколов).
В режиме Origin trial добавлен API Web Install, предоставляющий метод navigator.install() для инициирования установки web-приложений сайтами, что может быть использовано при создании каталогов-магазинов web-приложений или для упрощения установки web-приложений для работы с текущим сайтом. Установка производится после явного подтверждения операции пользователем.
Внесены улучшения в инструменты для web-разработчиков. Расширены возможности экспериментального сервера MCP (Model Context Protocol), позволяющего обращаться к возможностям Chrome DevTools из внешних AI-ассистентов. В панель Elements добавлена поддержка отладки CSS-правил @starting-style. Панель аудита обновлена до выпуска Lighthouse 13. При экспорте результатов отслеживания производительности предоставлена возможность включения в архив содержимого файлов HTML, CSS и JavaScript, а также данных "source map".

Кроме нововведений и исправления ошибок в новой версии устранены 13 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 13 премий и выплатила 18 тысяч долларов США (одна премия $11000, две премии $3000 долларов и одна премия $1000). Размер 9 вознаграждений пока не определён.

[сергей 999s]

Релиз Firefox 146

Состоялся релиз web-браузера Firefox 146 и сформированы обновления прошлых веток с длительным сроком поддержки - 140.6.0 и 115.31.0. На стадию бета-тестирования переведена ветка Firefox 147, релиз которой намечен на 14 января.

Основные новшества в Firefox 146 (1, 2, 3):

Спойлер   :

Добавлен режим "Split View" для просмотра бок о бок двух вкладок в одном окне. Режим по умолчанию отключён и активируется через параметр "browser.tabs.splitView.enabled" на странице about:config, после чего в контекстном меню, показываемом при клике правой кнопкой мыши на вкладках, появится кнопка "Add Split View". При нажатии данной кнопки на отдельной вкладке, содержимое окна будет разделено на две части и в правой части отобразится страница открытия новой вкладки. Если выбрать опцию для группы из двух вкладок, указанные вкладки сразу будут раскрыты рядом с друг другом. В режиме "Split View" допускается произвольное изменение размера правой и левой области просмотра через перетаскивание мышью полосы-разделителя. Активная вкладка при одновременном просмотре выделяется красной рамкой.

В Linux-окружениях, использующих протокол Wayland, реализована поддержка дробного масштабирования для повышения эффективности отрисовки на экранах с высокой плотностью пикселей.
Обновлена встроенная графическая библиотека Skia, применяемая для 2D-отрисовки с использованием GPU. Обновление привело к повышению производительности отрисовки и улучшению совместимости.
Для всех пользователей предоставлен доступ к разделу настроек Firefox Labs, в котором можно активировать находящиеся на стадии тестирования экспериментальные возможности. Ранее данный раздел был доступен только в установках, пользователи которых согласились на участие в экспериментах или включили отправку телеметрии.

При вводе поискового запроса в адресной строке реализована возможность отображения результатов поиска в выпадающем блоке рекомендаций. Функция пока по умолчанию включена не для всех и постепенно будет активироваться для всё большего процента пользователей.

Значительно увеличено число стран, для которых активирован виджет с прогнозом погоды, показываемый на странице новой вкладки. Местоположение для показа прогноза может выбиться автоматически или задаваться вручную. Из постсоветских стран доступны Эстония, Литва и Латвия. Остальные могут включить виджет через настройку about:config "browser.newtabpage.activity-stream.discoverystream.region-weather-config" на странице about:config.

В конфигураторе переделан диалог переопределения цветов на просматриваемых сайтах (Contrast Control/Manage Colors), в котором теперь наглядно сгруппированы изменяемые цвета и поясняющие метки.

Добавлена поддержка автоматического резервного копирования сохранённых паролей, закладок, внутренних БД и прочих браузерных данных. Резервное копирование пока поддерживается только на платформе Windows, но в будущем появится и в сборках для других ОС. Резервные копии создаются ежедневно и могут быть зашифрованы паролем. В дальнейшем резервную копию можно использовать для восстановления состояния после установки свежего Firefox на другом устройстве.

На платформе Windows прекращена поддержка API Direct2D.
В сборках для платформы macOS по умолчанию обеспечен запуск отдельного процесса для взаимодействия с GPU, в который вынесено выполнение операций, связанных с работой WebGPU, WebGL и WebRender. При возникновении сбоев в коде для работы с GPU вместо аварийного завершения браузера теперь осуществляется перезапуск GPU-процесса.
В WebRTC реализована возможность шифрования трафика с использованием криптоалгоритма ML-KEM, стойкого к подбору на квантовом компьютере, с передачей ключа в процессе согласования соединения по протоколу DTLS 1.3.
В API WebCrypto добавлена поддержка сжатия информации о точках на эллиптической кривой с последующей возможностью математического восстановления полного значения точек. Сжатие позволяет почти в два раза сократить размер открытых ключей для экономии трафика и места на диске.
В CSS добавлено @-правило "@scope", при помощи которого можно ограничить применение стилей к указанному DOM-поддереву без необходимости написания специфичных селекторов.

   @scope (.article-body) {
     img {
       border: 5px solid black;
       background-color: goldenrod;
     }
   }
Добавлена поддержка CSS-функции contrast-color(), возвращающей противоположный вариант для указанного цвета (для белого вернёт чёрный, а для чёрного - белый). Функцию можно использовать для подбора цвета фона для определённого цвета текста и наоборот.
Добавлено CSS-свойство text-decoration-inset для настройки начальной и конечной точек в линиях декорирования текста (например, линии подчёркивания, перечёркивания, пометки синтаксических ошибок).
Добавлена поддержка устаревшего ключевого слова "-webkit-fill-available", применяемого в CSS-свойства "width" и "height" и являющегося аналогом пока не активированного по умолчанию ключевого слова "stretch", позволяющего элементам растягиваться до тех пор, пока они полностью не заполнят доступное пространство блока.
В инструментах для web-разработчиков в интерфейсе инспектирования в боковой панели Rule по умолчанию скрыты не используемые свойства CSS, что сократило беспорядок и ускорило отрисовку панели. Для возвращения показа скрытых свойств внизу предусмотрена кнопка "Show...".
В версии для платформы Android упрощён интерфейс загрузки файлов - если сайт не детализирует тип файла, браузер теперь предлагает выбрать файл, снять фото или записать звук.
Кроме новшеств и исправления ошибок в Firefox 146 устранено 17 уязвимостей. 12 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В бета-версии Firefox 147 добавлена возможность использования каталога "~/.config/mozilla" для хранения профилей, дополнений, настроек и внутренних БД в соответствии со спецификацией Freedesktop.org XDG Base Directory. Оптимизировано воспроизведение видео с использованием аппаратного ускорения декодирования на GPU AMD. Реализация протокола Safe Browsing обновлена до версии 5. Добавлена опция для автоматического продолжения воспроизведения видео в режиме "картинка в картинке" в случае переключения вкладки. Добавлена поддержка RFC 9842 (Compression Dictionary Transport). Реализован API Navigation.

[сергей 999s]

Mozilla внедрит в Firefox инструмент для полного отключения функций искусственного интеллекта

Команда разработки Firefox анонсировала функцию для деактивации встроенных инструментов на базе искусственного интеллекта. Решение принято в ответ на критику планов по внедрению LLM. Глобальный выключатель обеспечит удаление всех кнопок и панелей, связанных с нейросетями, гарантируя отсутствие навязанного функционала в обновлениях

Спойлер   :

Разработчики браузера Firefox официально подтвердили работу над инструментом, который позволит пользователям полностью деактивировать любые функции, связанные с искусственным интеллектом. Такое решение стало ответом на резкую критику со стороны сообщества после анонса новой стратегии развития компании.

Контекст изменений и реакция сообщества

Недавно назначенный генеральный директор Mozilla Энтони Энзор-ДеМео в своем программном обращении обозначил интерес к интеграции решений на базе больших языковых моделей (LLM) в экосистему Firefox. Руководитель подчеркнул понимание того, что далеко не все пользователи приветствуют внедрение нейросетей в браузер, и пообещал сохранить прозрачность процесса настройки характеристик программы.

Несмотря на заверения руководства, планы по внедрению ИИ вызвали серьезное недовольство у части аудитории. Многие пользователи выбирают Firefox именно из-за отсутствия навязчивых технологий, которые активно внедряют конкуренты. В ответ на негативную реакцию команда разработчиков Firefox для веб-разработчиков в социальной сети Mastodon раскрыла подробности о готовящемся механизме защиты приватности.

Принцип работы выключателя ИИ

Внутреннее название новой функции - AI kill switch. Данный инструмент предназначен для тех, кто хочет полностью исключить любые упоминания нейросетевых технологий из интерфейса и функционала браузера. Основной принцип заключается в том, что все функции ИИ будут работать исключительно по системе opt-in (отключены по умолчанию и активируются только по явному желанию пользователя).

Глобальный выключатель обеспечит полное удаление всех элементов управления ИИ и предотвратит их автоматическое появление в будущих обновлениях. Разработчики признают наличие спорных моментов в определении добровольного выбора, например, считается ли появление новой кнопки на панели инструментов навязыванием услуги. Наличие радикального способа отключения должно снять подобные вопросы.

Официальная позиция разработчиков

Команда Mozilla опубликовала следующее разъяснение своей позиции:

Кое-что не было разъяснено до конца: в Firefox появится опция для полного отключения всех функций ИИ. Внутри компании мы называем это выключателем ИИ (AI kill switch). Уверен, что финальное название окажется менее агрессивным, но само именование подчеркивает, насколько серьезно и решительно мы подходим к данному вопросу. Все ИИ-функции будут активироваться только по желанию пользователя. Существуют определенные нюансы в понимании того, что разные люди считают добровольным выбором (например, является ли новая кнопка на панели инструментов добровольной?), однако данный выключатель полностью удалит подобные элементы и исключит их появление в будущем. Такое решение является однозначным.

Сохранение доверия аудитории

В Mozilla отмечают, что принимают критику и не требуют от пользователей безоговорочной веры в выбранное направление развития. Однако компания призывает не делать преждевременных выводов о намеренном ухудшении характеристик браузера.

Внедрение механизма полного отключения ИИ рассматривается как необходимый шаг для сохранения доверия пользователей. Поскольку значительная часть аудитории переходит на Firefox для защиты от неуправляемого внедрения нейросетей в других продуктах, сохранение прозрачности и контроля над удобством использования остается приоритетной задачей для Mozilla. Любое нарушение этих принципов может привести к массовому оттоку лояльных пользователей.

[сергей 999s]

Релиз Chrome 144: Google закрыла критические уязвимости безопасности

Google выпустила стабильную версию Chrome 144 для Windows, macOS и Linux. Обновление включает 10 исправлений безопасности, в том числе уязвимости высокого уровня в движках V8 и Blink. Пользователям рекомендуется установить обновление как можно скорее

Спойлер   :

Chrome 144: Что нового
Исправления безопасности в Chrome 144
В этом релизе устранены три уязвимости высокого уровня. Две из них затрагивают JavaScript-движок V8 — речь идет об ошибке выхода за пределы памяти и о некорректной реализации одного из механизмов. Еще одна критическая уязвимость исправлена в Blink, движке рендеринга браузера.

Также в Chrome 144 закрыт ряд уязвимостей среднего и низкого уровня. Среди них — проблемы с валидацией ввода при загрузке файлов, некорректное поведение элементов интерфейса безопасности, ошибки применения политик в сетевых компонентах и уязвимость использования данных после освобождения памяти в библиотеке ANGLE.

Подробности по некоторым ошибкам пока не раскрываются. В Google поясняют, что информация ограничивается до тех пор, пока обновление не установит большинство пользователей, особенно если уязвимости затрагивают сторонние библиотеки, используемые и в других проектах.

Информация о новых функциях и других изменениях будет опубликована в официальном блоге позже.