Браузеры (новости, обсуждение)

[сергей 999s]

Google объявил о закрытии многих технологий Privacy Sandbox

Google объявил о закрытии большинства технологий Privacy Sandbox — инициативы, которая должна была заменить сторонние файлы cookie в Chrome и Android. Компания отказалась от таких решений, как Attribution Reporting, IP Protection, Protected Audience, Topics и других

Спойлер   :

Когда Google в 2020 году объявил о прекращении поддержки сторонних файлов куки в Chrome и представил свои планы по инициативе Privacy Sandbox, компания, вероятно, не ожидала, что встретит столь сильное сопротивление. Хотя большинство пользователей одобряли идею избавиться от сторонних куки в Интернете, сама концепция Privacy Sandbox оказалась совсем не такой безобидной, как звучало.

Одной из ключевых идей этих технологий был переход от отслеживания отдельных пользователей к отслеживанию групп. По словам Google, такой подход должен был сделать Интернет безопаснее для пользователей. На деле это все равно оставалось отслеживанием — только в другой форме. Остальные компоненты также подвергались критике — особенно потому, что выглядело так, будто Google получает еще больше власти и контроля над интернет-пространством.

20 октября 2025 года Google объявил о прекращении работы сразу ряда технологий Privacy Sandbox, а именно:

Attribution Reporting API (Chrome и Android)
IP Protection
On-Device Personalization
Private Aggregation (включая Shared Storage)
Protected Audience (Chrome и Android)
Protected App Signals
Related Website Sets (включая requestStorageAccessFor и Related Website Partition)
SelectURL
SDK Runtime
Topics (Chrome и Android).
Все эти технологии отключат и постепенно уберут из браузера, если они уже были туда внедрены.

Некоторые разработки, напротив, останутся. Среди них — CHIPS и FedCM, которые, по утверждению Google, «улучшают конфиденциальность и безопасность куки» и уже получили широкое распространение. Вот что они собой представляют:

Cookies Having Independent Partitioned State (CHIPS) — ограничивает доступ сторонних файлов куки только доменом верхнего уровня, на котором они были созданы. Иными словами, другие сайты не смогут получить доступ к этим данным.
Federated Credential Management API (FedCM) — направлен на улучшение процесса аутентификации и входа на сайты с использованием уже существующих аккаунтов доверенных сервисов, при этом сохраняя личные данные пользователей в безопасности.
Также продолжит поддерживаться технология Private State Tokens, которая позволяет сайтам передавать «доверие» из одного контекста в другой. Google утверждает, что это помогает «бороться с мошенничеством и отличать настоящих пользователей от ботов — без пассивного отслеживания».

[сергей 999s]

Выпуск браузерного движка Servo 0.0.1

Опубликован первый отдельный выпуск браузероного движка Servo, написанного на языке Rust. До сих пор проектом формировались только ночные сборки. В примечании к выпуску отмечено только то, что по функциональности он аналогичен ночной сборке от 19 октября, для которой проведено дополнительное ручное тестирование. Выпуск также ознаменовал начало формирования сборок для систем Apple с macOS на базе процессоров с архитектурой ARM. Готовые сборки предоставлены для Linux, Android, macOS и Windows.

Движок изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender. На базе Servo развивается демонстрационный браузер ServoShell.

[сергей 999s]

Релиз Opera 123: улучшенная история, импорт вкладок и обновления безопасности

Opera 123 получила обновлённое ядро Chromium 139.0.7258.156, поддержку импорта открытых вкладок из Chrome, Edge и Opera GX, улучшенную страницу истории и важные исправления безопасности и стабильности для Windows и macOS.

Спойлер   :

Компания Opera выпустила стабильную версию браузера Opera 123 с обновлённым ядром Chromium, улучшенным интерфейсом страницы истории, исправлениями ошибок и важными патчами безопасности. Обновление доступно для Windows, macOS и Linux.

Основные изменения в Opera 123
Обновление ядра Chromium: браузер основан на версии Chromium 139.0.7258.156, что обеспечивает совместимость с последними веб-стандартами и улучшенную производительность.
Импорт открытых вкладок: теперь при настройке Opera можно легко перенести текущие открытые вкладки из других браузеров — Chrome, Opera GX и Microsoft Edge.
Обновления безопасности: исправлены уязвимости в компонентах JSON.parse и Safe Browsing, унаследованные от Chromium.
Более стабильная работа: устранены случайные сбои и зависания при работе с вкладками, воспроизведении мультимедиа, переводе страниц и настройках.
Обновлённая страница истории: улучшено визуальное оформление и отзывчивость элементов. Исправлены фильтры, выбор дат и кнопки панели действий.
Улучшенная визуальная консистентность: тёмная тема стала более однородной, улучшено выравнивание элементов, обновлены контуры и сделаны заметнее элементы управления во всплывающих окнах и подсказках.
Исправления для macOS и Windows: на macOS восстановлено корректное поведение окон, на Windows исправлен поиск в полноэкранном режиме и улучшено расположение элементов управления видео.

Подробнее об изменениях
С полным списком изменений и исправлений можно ознакомиться в официальном журнале изменений Opera 123.[/spoile]

[сергей 999s]

Выпуск web-браузера Chrome 142

Компания Google опубликовала релиз web-браузера Chrome 142. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 143 запланирован на 2 декабря.

Спойлер   :

Основные изменения в Chrome 142:

Включена защита от обращения к локальной системе при взаимодействии с публичными сайтами. При обращениях с сайта в публичной или внутренней сети (интранет) к IP-адресам локальной системы или loopback-интерфейсу (127.0.0.0/8) браузер будет выводить пользователю диалог с запросом подтверждения операции. Под действия защиты попадают попытки загрузки ресурсов, запросы fetch() и iframe-вставки. Защита пока не применяется для соединений через WebSockets, WebTransport и WebRTC, но будет добавлена для данных технологий позднее.
Обращение к внутренним ресурсам используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети.

Предложен единый упрощённый интерфейс для привязки к учётной записи в Google и синхронизации данных, таких как сохранённые пароли и закладки. Синхронизация интегрирована с входом в учётную запись и не преподносится как отдельная возможность в настройках. Пользователи могут подключить Chrome к учётной записи в Google и использовать её для хранения паролей, закладок, истории посещений и вкладок. Возможность пока активирована для части пользователей, постепенно охват будет увеличиваться.
Задействована новая модель изоляции процессов - "Origin Isolation", при которой каждый источник контента (origin - связка из протокола, домена и порта, например, "https://foo.example.com"), изолируется в отдельном процессе отрисовки. Так как увеличение дробления изоляции может привести к повышению потребления памяти и росту нагрузки на CPU, новый режим изоляции включается только на системах, имеющих больше 4 ГБ ОЗУ. На маломощном оборудовании продолжит использоваться старый подход к изоляции, при котором в отдельном процессе изолируются все разные источники контента, связанные с одним сайтом (например, foo.example.com и bar.example.com).
На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
В версии для Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
В реализации протокола DTLS (Datagram Transport Layer Security, аналог TLS для UDP), применяемой для соединений WebRTC, включено использование алгоритмов постквантового шифрования.
Реализовано сохранение статуса активации, выставляемого при активности пользователя на странице, после перехода на другую страницу с тем же доменом. Сохранение активации упростит разработку многостраничных web-приложений и решит такие проблемы, как выставление фокуса ввода при отображении сайтом своей виртуальной клавиатуры.
В CSS добавлены псевдо-классы ":target-before" и ":target-after" для определения предыдущих и следующих маркеров, относительно текущей позиции прокрутки (":target-current").
В контейнерах стилей ("@container") и функции "if()" разрешено использование синтаксиса диапазонов (Range Syntax), определённого в спецификации Media Queries Level 4 и позволяющего использовать обычные математические операторы сравнения и логические операторы для определения диапазонов значений. Например, теперь можно указывать "@container style(--inner-padding > 1em)" и "background-color: if(style(attr(data-columns, type<number>) > 2): lightblue; else: white);"
В элементы "<button>" и "<a>" добавлена поддержка атрибута "interestfor", при помощи которого можно организовать вызов действий, например, показать всплывающее окно, в ситуациях когда пользователь проявит интерес к элементу. Признаками проявления интереса браузер считает такие ситуации, как наведение и удержание указателя на элементе, нажатие горячих клавиш или удержание касания на сенсорном экране. При выявлении интереса на элементе с атрибутом "interestfor" браузер генерирует событие InterestEvent.
Внесены улучшения в инструменты для web-разработчиков. В верхний правый угол добавлена кнопка для быстрого вызова AI-ассистента. Элемент контекстного меню "Ask AI" переименован в "Debug with AI" и расширен возможностью выполнения непосредственных действий в зависимости от контекста. В web-консоли и панели с кодом AI-ассистент Gemini теперь может генерировать рекомендации с кодом.

[ Гостям не разрешен просмотр вложений ]

В инструментах для web-разработчиков обеспечена интеграция с сервисом GDP (Google Developer Program). Разработчик теперь сможет подключаться к своему профилю в GDP непосредственно из Chrome DevTools и получать бонусы за выполнение определённых работ в данном интерфейсе.

[ Гостям не разрешен просмотр вложений ]

Кроме нововведений и исправления ошибок в новой версии устранены 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 20 премий на сумму 130 тысяч долларов США (две премии 50 тысяч долларов, по одной премии в $10000 и три премии $3000, две премии $2000 и три премии $1000). Размер 8 вознаграждений пока не определён.

Дополнительно можно отметить выявление ещё не исправленной уязвимости в движке Blink, которая приводит к аварийному завершению и зависанию браузера при выполнении определённого JavaScript-кода. Уязвимость вызвана архитектурными проблемами в движке отрисовки, связанными с отсутствием ограничения на интенсивность операций обновления свойства "document.title". Отсутствие ограничений позволяет использовать "document.title" для внесения в DOM десятков миллионов изменений в секунду, что через несколько секунд приводит к зависанию интерфейса из-за блокировки основного потока и значительного потребления памяти, а через 15-60 cекунд браузер аварийно завершает работу.

[сергей 999s]

Google Chrome включит HTTPS по умолчанию в октябре 2026 года

Google включит HTTPS по умолчанию в Chrome в октябре 2026 года. Это значит, что браузер будет автоматически подключаться к сайтам только через защищённый протокол HTTPS, предотвращая перехват и подмену данных. При попытке открыть сайт без HTTPS Chrome покажет предупреждение

Спойлер   :

Google объявляет, что в следующем году браузер Chrome будет использовать HTTPS по умолчанию. Еще два года назад компания представила схожий режим — «HTTPS-first mode».

Данная настройка заставляет Chrome подключаться к сайтам только через защищенный протокол HTTPS. В отличие от HTTP, который передает данные в открытом виде и может быть перехвачен злоумышленниками, HTTPS шифрует соединение между пользователем и сервером. Без шифрования атакующий может подменить страницу, внедрить вредоносный код или перенаправить пользователя на фишинговый сайт. Google отмечает, что обычные HTTP-соединения незаметны для пользователей, и такие переходы могут произойти мгновенно — поэтому легко не заметить подмену.

HTTPS (Hypertext Transfer Protocol Secure) защищает соединение и обеспечивает передачу данных напрямую с сервером сайта. Сегодня подавляющее большинство сайтов поддерживает HTTPS. В 2022 году Google добавила в Chrome опцию, позволяющую принудительно использовать HTTPS. По данным компании, сейчас около 95 % сайтов работают через HTTPS, но оставшиеся 5 % все еще создают значительные риски, особенно среди закрытых или частных ресурсов. Поэтому Google считает, что пришло время включить HTTPS по умолчанию для всех пользователей.

Когда функция активна и пользователь открывает сайт без поддержки HTTPS, Chrome покажет предупреждение о потенциальной опасности страницы. Можно будет выбрать — покинуть сайт или продолжить с риском. Такое предупреждение будет отображаться только при первом посещении ресурса.

[ Гостям не разрешен просмотр вложений ]

Если вы хотите включить функцию уже сейчас, перейдите в Настройки > Конфиденциальность и безопасность > Защищенные подключения или просто вставьте в адресную строку: chrome://settings/security

[ Гостям не разрешен просмотр вложений ]

Там найдите параметр Всегда использовать безопасные соединения — пока он отключен по умолчанию, но Google активирует его автоматически в 2026 году.

Microsoft недавно добавила аналогичный режим HTTPS-first в Edge 140, но он тоже пока не включен по умолчанию. Подобные функции уже есть в Mozilla Firefox, Vivaldi, Safari и Brave.

Google провел эксперимент, включив режим в Chrome 141 для небольшой группы пользователей, посещающих публичные сайты. Количество предупреждений оказалось меньше 3 % от всех переходов — показатель, который компания считает приемлемым.

Дорожная карта включения функции:

Апрель 2026 (Chrome 147): автоматическое включение HTTPS для пользователей, выбравших вариант Улучшенная защита функции Безопасный просмотр.
Октябрь 2026 (Chrome 154): HTTPS станет стандартным режимом для всех пользователей.

[сергей 999s]

Релиз Firefox 145 с расширенной защитой от скрытой идентификации

Состоялся релиз web-браузера Firefox 145 и сформированы обновления прошлых веток с длительным сроком поддержки - 140.5.0 и 115.30.0. На стадию бета-тестирования переведена ветка Firefox 146, релиз которой намечен на 9 декабря.

Спойлер   :

Основные новшества в Firefox 145 (1, 2, 3):

Прекращена поддержка 32-разрядных Linux-систем. Отмечается, что сопровождение Firefox на 32-разрядных платформах становится все более сложным и ненадёжным, при том, что поддержка 32-разрядных сборок уже прекращена в большинстве дистрибутивов Linux. Пользователям 32-разрядных Linux-дистрибутивов рекомендуется перейти на использование 64-разрядных операционных систем. Для тех, кто не может оперативно обновить дистрибутив можно использовать ESR-ветку Firefox 140, обновления с устранением уязвимостей для которой будут формироваться как минимум до сентября следующего года.

Усилено скругление кнопок, вкладок, адресной строки и полей ввода.

Во встроенном PDF-просмотрщике реализована возможность добавления, редактирования и удаления комментариев/примечаний. Для навигации и просмотра имеющихся комментариев добавлена отдельная боковая панель. Во время добавления комментария можно выбирать цвет для его выделения на общем фоне.

При наведении курсора на метку свёрнутой группы вкладок обеспечен показ списка вкладок в группе, при помощи которого можно быстро раскрыть нужную вкладку без предварительного раскрытия всей группы.

Добавлена возможность работы с сохранёнными паролями прямо из боковой панели без необходимости открытия менеджера паролей в отдельном окне или вкладке.

Предложена новая подборка фоновых изображений для страницы открытия новой вкладки, доступных в версиях для светлого и тёмного режимов.

В настройки вкладок добавлена опция для размещения вкладки, создаваемой при открытии ссылок из внешних приложений, рядом с текущей активной вкладкой, а не в конце списка вкладок.

В контекстное меню добавлен пункт "Copy Link to Highlight" позволяющий сформировать ссылку, указывающую на фрагмент текста, выделенный на странице. Для перехода на выбранный текст используются ссылки вида "https://www.example.com #:~:text=маска".
Расширены возможности режима для защиты от скрытой идентификации пользователя (Fingerprinting Protection), применяемого при включении усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict) или при открытии страниц в режиме приватного просмотра. Отмечается, что внесённые изменения позволили почти вдвое сократить эффективность методов скрытой идентификации по сравнению с ранее имевшейся защитой.
Для усиления защиты обеспечен возврат постоянных значений для параметров, которые могут применяться как дополнительный признак для идентификации, а также ограничен доступ к сведениям об оборудовании, таким как число поддерживаемых тачпадом одновременных касаний и число процессорных ядер. Реализована подстановка случайного шума при попытке чтения из скриптов изображений, сгенерированных через элемент canvas. Отключена отрисовка на странице текста с использованием локально установленных нестандартных шрифтов.

В режиме усиленной защиты (strict) от отслеживания перемещений (ETP, Enhanced Tracking Protection) включена по умолчанию защита от отслеживания с использованием редиректов (Bounce Tracking Protection). Механизм Bounce Tracking Protection позволяет отлавливать активность, специфичную для отслеживания через редиректы, и периодически очищать Cookie и локально сохранённые данные, используемые для отслеживания. В отличие от режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа.
Суть метода отслеживания на основе редиректов в том, что код трекера перенаправляет пользователя вначале на свой сайт, а уже с него перебрасывает на целевую страницу, что позволяет трекеру сохранить Cookie и данные в локальном хранилище в привязке к своему сайту. Сохранение данных после перехода на другой сайт позволяет обойти ранее реализованные в браузере методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

Добавлена поддержка контейнеров Matroska (для кодеков AVC, HEVC, VP8, VP9, AV1, AAC, Opus и Vorbis).
Во встроенной системе машинного перевода повышено удобство перевода между языками с разным направлением следования символов. Для сжатия локально устанавливаемых моделей задействован алгоритм Zstandard, позволивший сократить размер загружаемых данных и сэкономить место на локальном накопителе.
В конфигурациях без установленных дополнений нажатие на панельную кнопку доступа к дополнениям теперь приводит к показу пояснения о пользе дополнений со ссылкой на каталог дополнений.

В JavaScript реализован метод Atomics.waitAsync(), предлагающий асинхронную версию метода Atomics.wait(), позволяющую ожидать определения размещения SharedArrayBuffer по аналогии с Atomics.wait(), но с возвращением Promise.
Добавлена поддержка HTTP-заголовков Integrity-Policy и Integrity-Policy-Report-Only, при помощи которых можно осуществлять проверку целостности загружаемых скриптов.
Реализовано CSS-свойство text-autospace, выполняющее автоматическую корректировку расстояния между символами из разных систем письма (например, между латиницей и иероглифами).
В CSS-свойстве font-family реализована поддержка семейства шрифтов "math" для корректной отрисовки математических выражений.
В API ToggleEvent добавлено свойство source, содержащее объект Element, представляющий элемент управления, инициировавший изменение состояния, в ответ на которое было сгенерировано событие Toggle. Например, когда пользователь кликнет на элемент "<button>" с атрибутом "popovertarget" при открытии всплывающего окна будет сгенерировано событие ToggleEvent, свойство "source" в котором позволит понять какой элемент "<button>" был нажат.

В сборках для платформы Windows ярлык для запуска Firefox заменён на отдельное мини-приложение (launcher), которое запускает Firefox, если он уже установлен, или запускает инсталлятор, если его ещё нет в системе.
На компьютерах Apple с чипами Apple Silicon и ОС macOS 26 реализована поддержка API WebGPU.
В Firefox для Android:
Включена обязательная проверка TLS-сертификатов web-серверов в публичных журналах Certificate Transparency, предназначенных для выявления сертификатов, созданных в обход штатных рабочих процессов удостоверяющего центра (например, скрытое создание сертификата в результате злоупотребления сотрудника или компрометации удостоверяющего центра).
Для ускорения проверки отзыва TLS-сертификатов задействован механизм CRLite, работающий на системе пользователя. Хранимая на стороне пользователя БД с информацией о сертификатах периодически синхронизируется с внешней БД Mozilla.
Для TLS 1.3 и HTTP/3 добавлена поддержка гибридного алгоритма обмена ключами "mlkem768x25519", стойкого к подбору на квантовом компьютере и представляющего собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber),
Компоненты сетевого стека для протоколов QUIC и HTTP/3 заменены на реализацию, написанную на языке Rust и отличающуюся более высокой производительностью.
Кроме новшеств и исправления ошибок в Firefox 145 устранено 19 уязвимостей. 10 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

[сергей 999s]

Google устранил уязвимость нулевого дня CVE-2025-13223 в Chrome, которая эксплуатировалась в реальных атаках

Google выпустила экстренное обновление Chrome, исправив уязвимость нулевого дня CVE-2025-13223. Ошибка в движке JavaScript V8 уже использовалась в реальных атаках, о чём сообщил Google TAG. Исправления доступны в версиях 142.0.7444.175/.176 для Windows, macOS и Linux, и их рекомендуется установить как можно скорее

Спойлер   :

Google выпустил экстренное обновление безопасности для исправления уязвимости нулевого дня в Chrome, которая использовалась в атаках в этом году.

В бюллетени по безопасности компания предупредила:

Компания Google осведомлена о том, что эксплойт для CVE-2025-13223 уже существует в реальных условиях.

Эта уязвимость высокой степени опасности вызвана ошибкой смешения типов в движке JavaScript V8, о которой на прошлой неделе сообщил Клеман Лесинь (Clement Lecigne) из команды Threat Analysis Group (TAG) компании Google. TAG Google регулярно выявляет эксплойты нулевого дня, которые используют государственные хакерские группы в шпионских кампаниях против людей из группы риска — журналистов, оппозиционных политиков и диссидентов.

Google закрыл эту уязвимость нулевого дня, выпустив обновления Chrome: 142.0.7444.175/.176 для Windows, 142.0.7444.176 для macOS и 142.0.7444.175 для Linux.

Хотя новые версии будут распространяться среди всех пользователей в стабильном канале в течение ближайших недель, исправление уже доступно для установки.

Несмотря на то, что браузер Chrome автоматически обновляется при выходе обновлений безопасности, пользователи также могут вручную убедиться, что у них установлена последняя версия, перейдя в меню Chrome > Cправка > О браузере Google Chrome, дождаться завершения загрузки обновления, а затем нажать кнопку Перезапустить для завершения установки.

Хотя Google уже подтвердил, что уязвимость CVE-2025-13223 использовалась в атаках, компания пока не раскрыла дополнительные сведения об активной эксплуатации.

Компания отметила:

Доступ к дополнительным сведениям о проблеме и связанным ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновит браузер до исправленной версии. Мы также будем сохранять ограничения, если ошибка затрагивает стороннюю библиотеку, от которой зависят другие проекты, но которая пока не была исправлена.

Это уже седьмая уязвимость нулевого дня в Chrome, использованная в атаках и исправленная Google в этом году. Еще шесть уязвимостей были исправлены в марте, мае, июне, июле и сентябре.

В сентябре и июле компания устранила две активно эксплуатируемые уязвимости нулевого дня (CVE-2025-10585 и CVE-2025-6558), обнаруженные исследователями Google TAG.

В мае Google выпустил дополнительные экстренные обновления безопасности, чтобы исправить уязвимость нулевого дня (CVE-2025-4664), которая позволяла злоумышленникам перехватывать учетные записи. Эти обновления также устранили ошибку чтения и записи данных за пределами буфера (CVE-2025-5419) в движке V8, выявленную Google TAG в июне.

В марте Google также устранил уязвимость высокой опасности, позволяющую выйти из песочницы (CVE-2025-2783), о которой сообщила «Лаборатория Касперского» и которая использовалась в шпионских атаках против российских СМИ и государственных организаций.

[сергей 999s]

Выпуск web-браузера Chrome 143

Компания Google опубликовала релиз web-браузера Chrome 143. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 144 запланирован на 13 января.

Спойлер   :

Основные изменения в Chrome 143:

Объявлена устаревшей и запланирована к отключению в выпуске Chrome 155 поддержка языка преобразования XML-документов XSLT, в том числе объявлены устаревшими API XSLTProcessor и инструкции разбора таблиц стилей XML. В качестве причины упоминаются риски безопасности, вызванные использованием библиотеки libxslt, которая имеет проблемы с сопровождением и является источником совершения атак на браузеры, при том, что доля web-страниц, на которых используется XSLT, оценивается в 0.02%.
Добавлены новые возможности AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. Для перехода в AI-режим, который пока доступен только на платформах macOS и Windows, достаточно нажать клавишу табуляции перед началом ввода в адресной строке.

Библиотека ICU обновлена до версии 77.1 с поддержкой Unicode 16 и обновлением данных локалей.
В CSS добавлен селектор "@container anchored(fallback)", позволяющий менять стиль элементов, привязанных к позиции других элементов, в зависимости от выбранной браузером альтернативной позиции, заданной через свойство "position-try-fallbacks" для предотвращения выхода элемента за границу внешнего блока или области просмотра.
В CSS-свойства "background-position-x" и "background-position-y" добавлена возможность определения позиции фонового изображения относительно одного из краёв блока. Например, "background-position-x: left 30px;".
Добавлено CSS-свойство "font-language-override" для переопределения языка, используемого для замены глифов в шрифтах OpenType, предоставляющих специфичные для определённых языков варианты глифов. Например, 'font-language-override: "RUS";'.
В API WindowEventHandlers добавлена поддержка обработки событий "ongamepadconnected" и "ongamepaddisconnected" для отслеживания подключения и отключения геймпадов.
В JavaScript API для работы с DOM в именах и префиксах создаваемых элементов и атрибутов разрешено использование всех символов, допустимых в парсере HTML.
При использовании API WebTransport разрешено согласование протокола, используемого для взаимодействия сервера с web-приложением (при создании объекта WebTransport приложение может указать список допустимых протоколов).
В режиме Origin trial добавлен API Web Install, предоставляющий метод navigator.install() для инициирования установки web-приложений сайтами, что может быть использовано при создании каталогов-магазинов web-приложений или для упрощения установки web-приложений для работы с текущим сайтом. Установка производится после явного подтверждения операции пользователем.
Внесены улучшения в инструменты для web-разработчиков. Расширены возможности экспериментального сервера MCP (Model Context Protocol), позволяющего обращаться к возможностям Chrome DevTools из внешних AI-ассистентов. В панель Elements добавлена поддержка отладки CSS-правил @starting-style. Панель аудита обновлена до выпуска Lighthouse 13. При экспорте результатов отслеживания производительности предоставлена возможность включения в архив содержимого файлов HTML, CSS и JavaScript, а также данных "source map".

Кроме нововведений и исправления ошибок в новой версии устранены 13 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 13 премий и выплатила 18 тысяч долларов США (одна премия $11000, две премии $3000 долларов и одна премия $1000). Размер 9 вознаграждений пока не определён.