Браузеры (новости, обсуждение)

[vladimir1949]

Выпуск Firefox 148.0.2. Продление поддержки Firefox 115. Проверка Firefox AI-моделью Claude Opus
11.03.2026 08:39

Доступен корректирующий выпуск Firefox 148.0.2, в котором устранено 5 уязвимостей. 4 уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Одно из переполнений буфера затрагивает код для воспроизведения звука и видео в версии для Android. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Не связанная с памятью проблема присутствует в коде разбора CSS и позволяет обойти ограничения Same-origin.

Среди не связанных с безопасностью исправлений:

Спойлер   :

1.Устранено некорректное перенаправление на адресную строку при вводе поискового запроса на странице открытия новой вкладки.

2.Исправлена ошибка, приводившая к невозможности изменения форматирования в некоторых web-редакторах текста (например, переставало работать выделение жирным или курсивом).

3.Устранена проблема с автоматическим запуском воспроизведения видео на YouTube, несмотря на включение блокировки автоматического воспроизведения. Проблема проявлялась если после открытия страницы с видео удерживать клавишу Ctrl, что часто используется на системах с экранными ридерами.

4.Исправлена ​​ошибка, из-за которой вместо размещения по центру некоторые элементы с абсолютным позиционированием при загрузке выравнивались по левому краю.

5.Исправлена ошибка, из-за которой выводилась пустая рекомендация переключения на вкладку для страниц без тега "title".

6.Устранена проблема, приводившая к снижению качества видео на Windows-системах с GPU NVIDIA при включении режима Video Super Resolution.

Несколько других событий, связанных с Firеfox:

1.Компания Mozilla отменила решение о прекращении поддержки ESR-ветки Firefox 115 и продлила публикацию обновлений до конца августа. При этом поддержка будет ограничиваться только платформами Windows 7-8.1 и macOS 10.12-10.14, для других операционных систем работоспособность Firefox 115 не гарантируется. По статистике Mozilla от 2 марта 2026 года 5.33% пользователей Firefox продолжают использование Windows 7. Заявлено, что в июле Mozilla примет решение о дальнейшей судьбе ветки Firefox 115.

2.Раскрыты подробности об аномально высоком числе уязвимостей (60 вместо типичных 10-20), устранённых в выпуске Firefox 148. В состав Firefox 148 были включены исправления проблем, обнаруженных в результате совместной инициативы по повышению безопасности Firefox, проведённой Mozilla совместно с компанией Anthropic. В ходе анализа кодовой базы Firefox с использованием AI-модели Claude Opus 4.6 были выявлены 22 подтверждённые уязвимости, 14 из которых присвоен высокий уровень опасности. Попутно было найдено 90 ошибок, не связанных с безопасностью. В качестве демонстрации возможностей AI, для одной из уязвимостей (CVE-2026-2796) модель Claude Opus 4.6 была использована для создания рабочего эксплоита.

3.В стабильных сборках Firefox на странице about:config появилась настройка "browser.tabs.notes.enabled", позволяющая активировать экспериментальную функцию Tab Notes для прикрепления произвольных примечаний к вкладкам. Кнопка для добавления заметок помещена в контекстное меню и также показывается на эскизе, появляющемся при наведении курсора на вкладке.

[сергей 999s]

Google исправил две активно эксплуатируемые уязвимости «нулевого дня» в браузере Chrome

Google выпустила обновление безопасности для браузера Chrome, устранив две активно эксплуатируемые уязвимости нулевого дня — CVE-2026-3909 и CVE-2026-3910. Ошибки затрагивают графическую библиотеку Skia и JavaScript-движок V8 и могут позволить злоумышленникам выполнить произвольный код

Спойлер   :

Компания Google выпустила внеплановые обновления безопасности для браузера Chrome, устраняющие две уязвимости высокой степени опасности, которые уже активно используются в атаках.

В бюллетене безопасности сообщается:

Google известно о существовании эксплойтов для уязвимостей CVE-2026-3909 и CVE-2026-3910, применяемых в реальных атаках.

Первая уязвимость нулевого дня (CVE-2026-3909) связана с ошибкой записи за пределами выделенной области памяти библиотеке Skia. Это открытая библиотека двумерной графики, используемая Chrome для рендеринга веб-контента и элементов пользовательского интерфейса. Эксплуатация данной уязвимости может позволить злоумышленникам вызвать сбой браузера или даже добиться выполнения произвольного кода на системе жертвы.

Вторая уязвимость (CVE-2026-3910) описывается как ошибка некорректной реализации в движке V8, который используется в Chrome для выполнения JavaScript и WebAssembly.

Google обнаружил обе уязвимости и выпустил исправления всего через два дня после их выявления. Обновления уже начали распространяться для пользователей стабильного канала Chrome на настольных платформах. Новые версии браузера получили следующие номера:

Chrome для Windows — 146.0.7680.75
Chrome для macOS — 146.0.7680.76
Chrome для Linux — 146.0.7680.75

Google отмечает, что распространение внепланового обновления может занять от нескольких дней до нескольких недель.

Если вы не хотите обновлять браузер вручную, можно просто оставить включенной автоматическую проверку обновлений — в этом случае Chrome самостоятельно обнаружит новую версию и установит ее при следующем запуске браузера.

Несмотря на то что Google обнаружил признаки активной эксплуатации этой уязвимости нулевого дня в реальных атаках, компания не раскрыла дополнительных подробностей об этих инцидентах.

Компания сообщает:

Доступ к деталям уязвимости и связанным материалам может оставаться ограниченным до тех пор, пока большинство пользователей не установит исправление. Мы также сохраняем ограничения в тех случаях, когда уязвимость находится в сторонней библиотеке, от которой зависят другие проекты, но для которой исправление еще не выпущено.

Эти уязвимости стали второй и третьей активно эксплуатируемыми уязвимостями «нулевого дня» в Chrome, исправленными с начала 2026 года. Первая из них, отслеживаемая под идентификатором CVE-2026-2441, была устранена в середине февраля.. Она представляла собой ошибку типа «iterator invalidation» в компоненте CSSFontFeatureValuesMap, который является реализацией в Chrome механизма CSS для работы со значениями типографических функций шрифтов.

В прошлом году Google исправил в общей сложности восемь уязвимостей нулевого дня, которые уже использовались в атаках. Многие из них были обнаружены исследователями Threat Analysis Group (TAG) — специальной командой компании по анализу угроз.

Кроме того, в четверг Google сообщил, что в 2025 году выплатил более 17 миллионов долларов 747 специалистам по безопасности, которые сообщили об уязвимостях через программу Vulnerability Reward Program (VRP).

[сергей 999s]

Выпуск Chrome 146. Анонсированы официальные Linux-сборки Chrome для ARM64

Компания Google опубликовала релиз web-браузера Chrome 146. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 147 запланирован на 7 апреля.

Отдельно компания Google анонсировала публикацию официальных сборок Chrome для Linux-систем на базе архитектуры ARM64. Linux-сборки для ARM64 начнут формироваться во втором квартале 2026 года и будут доступны в пакетах deb и rpm. Ранее официальные сборки Chrome для Linux публиковались только для архитектуры x86_64, а для архитектуры ARM64 были доступны только сторонние сборки Chromium, предлагаемые дистрибутивами. Официальная версия Chrome отличается поддержкой подключения к учётной записи в Google, интеграцией сервисов Google, синхронизацией данных между устройствами, упрощённой установкой дополнений из каталога Chrome Web Store и возможностью включения расширенного режима защиты.

Основные изменения в Chrome 146:

Спойлер   :

Для части пользователей включён механизм выборочного ограничения полномочий (Selective permission intervention), который блокирует доступ связанных с показом рекламы JavaScript-скриптов к возможностям, влияющим на конфиденциальность, таким как доступ к информации о местоположении, микрофону, буферу обмена, Bluetooth, USB, последовательному порту и захвату экрана. Идея в том, что если пользователь предоставил странице доступ к подобным возможностям, то эти разрешения не будут применяться для размещённых на этой странице сторонних скриптов, загружаемых с других сайтов (обособленно через тег iframe или напрямую через тег script).
Изменена структура настроек, связанных с обеспечением безопасности. Для упрощения пользователю предоставлена возможность выбора между стандартным и усиленным уровнем защиты, что позволяет получить желаемый уровень безопасности без необходимости разбираться в деталях и расширенных опциях. При выборе усиленного режима дополнительно выполняется проверка URL и содержимого на серверах Google, выводятся предупреждения для незащищённых соединений и замедляется работа нетипичных для пользователя сайтов для блокирования атак. При желании пользователь может вернуться к старой схеме раздельного конфигурирования каждой настройки. Для управления включением нового оформления настроек безопасности предложен параметр "chrome://flags/#bundled-security-settings".

Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 146 реализована возможность использования файлов из хранилища Google Drive в качестве контекста для AI-агента.
В режиме автоматического заполнения полей предоставлена возможность использования дополнительных типов данных, которые ранее были доступны только при включении режима расширенного автозаполнения (Enhanced autofill).
Началось постепенное включение у пользователей защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действия защиты попадают попытки загрузки ресурсов, запросы fetch() и iframe-вставки. Защита пока не применяется для соединений через WebSockets, WebTransport и WebRTC, но будет добавлена для них в следующем выпуске.
Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Для управления попаданием подсетей в категорию внутренних или публичных предложена настройка LocalNetworkAccessIpAddressSpaceOverrides, а для автоматического разрешения доступа для дочерних iframe на основании полномочий родительского iframe-а добавлена настройка LocalNetworkAccessPermissionsPolicyDefaultEnabled.

Добавлены CSS-свойства "animation-trigger" и "trigger-scope" для управления анимацией на основе позиции прокрутки страницы. Например, можно запускать, останавливать или перезапускать анимацию при достижении определённой позиции прокрутки, обходясь только декларативным CSS без использования кода на JavaScript.
Реализована поддержка реестра пользовательских элементов для разделения области видимости пользовательских HTML-элементов, что может потребоваться при использовании на одной странице нескольких разных пользовательских HTML-элементов, имеющих одно и то же имя. В случае использования на странице нескольких библиотек, определяющих элемент с одинаковым именем, при помощи JavaScript-объекта CustomElementRegistry элементы каждой библиотеки можно закрепить за определёнными частями иерархии DOM. Например, если две библиотеки определяют разные элементы с одинаковым именем <my-button>, то в одной части страницы можно использовать элемент <my-button> из первой библиотеки, а на другой - из второй.
Добавлен API Sanitizer, который может быть полезен для чистки поступающих извне данных и вырезания из них HTML-тегов, которые могут использоваться для совершения XSS-атак. API предоставляет методы для манипуляции HTML и вырезания из содержимого HTML-элементов, влияющих на отображение и исполнение. Для безопасной вставки HTML-содержимого предложен метод element.setHTML(), похожий на element.innerHTML, но защищающий от межсайтового скриптинга (XSS). Для безопасного разбора HTML реализован метод document.parseHTML().

   const unsanitizedString = "abc <script>alert(1)<" + "/script> def";

   const sanitizer1 = new Sanitizer({
     elements: ["div", "p", "button", "script"],
   });
   const target = document.getElementById("target");
   target.setHTML(unsanitizedString, { sanitizer: sanitizer1 });
В элементе "meta" реализован параметр с именем "text-scale" (например, <meta name="text-scale" content="scale">), включающий автоматическое масштабирование размера шрифта на странице в соответствии с настройками браузера и операционной системы, если на странице используются относительные единицы измерения (rem и em).
В API WebGPU добавлен опциональный режим совместимости, предоставляющий подмножество функций, способных работать на системах с устаревшими графическими API, такими как OpenGL и Direct3D11.
В JavaScript добавлена возможность объединять несколько итераторов в один с помощью метода Iterator.concat().
В режиме "Origin trials" реализован API WebNN, позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.
В режиме "Origin trials" реализован API CPU Performance для получения информации об уровне производительности и характеристиках процессора (число ядер, тип, архитектура, модель, частота и т.п.).
В режиме "Origin trials" добавлен атрибут "focusgroup", позволяющий вместо табуляции использовать клавиши управления курсором для перемещения между кнопками или другими элементами, связанными с переключением фокуса.
Внесены улучшения в инструменты для web-разработчиков. В web-консоли обеспечено сохранение результатов редактирования команд при навигации по истории операций. В панели Elements реализовано отображение CSS-стилей, добавленных программно к Shadow DOM, через отдельный узел "#adopted-style-sheets" в дереве DOM, по аналогии с просмотром и редактированием стилей, определённых через тег <style>.

Кроме нововведений и исправления ошибок в новой версии устранено 29 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одной из проблем (переполнение буфера в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимость позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 29 премий и выплатила 211 тысяч долларов США, что стало рекордом по размеру выплат в рамках одного релиза (две премии $43000, по одной премии в $36000, $33000, $11000 и $7000, по две премии в $10000 и $3000, по 4 премии в $2000 и $1000). Размер 12 вознаграждений пока не определён.

[сергей 999s]

Google исправил уязвимость «нулевого дня» в компоненте WebGPU (Dawn) браузера Chrome

Google выпустила экстренное обновление Chrome, устраняющее уязвимость нулевого дня CVE-2026-5281 в компоненте WebGPU (Dawn), которая уже использовалась в реальных атаках

Спойлер   :

Компания Google выпустила экстренные обновления для устранения очередной уязвимости «нулевого дня» в Chrome, которая использовалась в реальных атаках. Это уже четвертая подобная уязвимость, исправленная с начала года.

В бюллетени безопасности компания сообщила:

Google известно о наличии в сети эксплоита для уязвимости CVE-2026-5281.

Уязвимость в WebGPU (Dawn)
В истории коммитов Chromium указано, что эта уязвимость связана с использованием данных после освобождения памяти в Dawn – базовой кроссплатформенной реализации стандарта WebGPU, используемой в проекте Chromium.

Злоумышленники могут использовать эту уязвимость в Dawn для вызова сбоев в работе веб-браузера, повреждения данных, проблем с отображением или других аномалий в поведении.

Хотя Google обнаружил доказательства того, что злоумышленники использовали эту уязвимость «нулевого дня» в реальных условиях, компания не раскрывает подробностей об этих инцидентах.

Google отмечает:

Доступ к подробностям об ошибке и ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не обновят свои системы с исправлением. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но которая еще не исправлена.

Обновление Chrome
Уязвимость «нулевого дня» закрыта в стабильной версии Google Chrome для компьютеров: выпущены обновления для Windows, macOS (146.0.7680.177/178) и Linux (146.0.7680.177). Google предупреждает, что распространение может занять несколько дней или недель, однако обновление уже доступно. Если не хотите обновлять браузер вручную, включите автоматическую проверку – обновление установится при следующем запуске.

Другие уязвимости нулевого дня в 2026 году
Это четвертая уязвимость нулевого дня в Chrome, активно используемая злоумышленниками, исправленная с начала года. Первая (CVE-2026-2441) представляла собой ошибку недействительности итератора в CSSFontFeatureValuesMap (реализация значений функций шрифтов CSS в Chrome), которую Google устранила в середине февраля.

В начале месяца Chrome также получил исправления для двух других уязвимостей «нулевого дня», которые уже использовались в атаках. Первая – ошибка выхода за границы памяти в графической библиотеке Skia (CVE-2026-3909). Вторая – некорректная реализация в движке V8 JavaScript engine и WebAssembly (CVE-2026-3910).

За 2025 год Google устранил восемь уязвимостей нулевого дня, активно применявшихся в реальных атаках. Многие из них обнаружила команда Google Threat Analysis Group, которая специализируется на выявлении эксплойтов, в том числе используемых в шпионском ПО.

[сергей 999s]

В Chrome появится нативная «ленивая загрузка» видео и аудио – это ускорит работу браузера

В браузере Google Chrome готовится важное улучшение производительности: нативная «ленивая загрузка» теперь появится не только для изображений, но и для видео и аудио. Это позволит ускорить открытие страниц, снизить расход трафика и сделать работу сайтов более плавной без сложных JavaScript-решений

Спойлер   :

Если при открытии страницы вы замечали задержку, особенно на сайтах с большим количеством видео и медиа, то грядущее обновление Chrome может решить проблему. На протяжении многих лет браузеры на базе Chromium — включая Microsoft Edge и Vivaldi — поддерживали ленивую загрузку. Однако она работала только для изображений и iframe. Для видео и аудио это было не совсем так. Скоро ситуация изменится. Благодаря предложению независимого разработчика Хельмута Янушки браузеры на базе Chromium готовятся получить нативную ленивую загрузку и для видео- и аудиоэлементов. И хотя это может звучать как небольшая техническая деталь, на практике это способно сделать работу в браузере заметно более плавной.

Как работает «ленивая загрузка»
Обычно при открытии веб-страницы браузер пытается загрузить все сразу: изображения, видео, аудио, рекламу — буквально весь контент. Очевидно, это не лучшим образом сказывается на скорости. Ленивая загрузка работает иначе. Вместо того чтобы подгружать все заранее, браузер откладывает загрузку и подгружает элементы только тогда, когда вы почти дошли до них на странице. Например, если видео или изображение находятся ниже, они не будут загружены, пока вы не прокрутите страницу ближе к ним. А если вы до них так и не дойдете, они могут вообще не загрузиться. В итоге страницы открываются быстрее, трафик расходуется экономнее, а работа в браузере становится более плавной.

Вот здесь начинается самое интересное. Сайты уже используют ленивую загрузку для видео и аудио, но чаще всего делают это через обходные решения на JavaScript. Это работает, но далеко не идеально. Обычно разработчики используют инструменты вроде Intersection Observer, чтобы отследить появление элемента в зоне видимости и вручную запустить его загрузку. Такой подход громоздкий, подвержен ошибкам и не всегда хорошо сочетается с нативными оптимизациями браузера. Предложение Хельмута Янушки упрощает эту схему: вместо дополнительного кода можно просто добавить нативный HTML-атрибут loading="lazy" прямо к видео и аудио. Это делает процесс значительно проще и чище.

Почему нативная поддержка важна
Когда браузер сам управляет ленивой загрузкой, он справляется с этим эффективнее:

Браузер сам оптимально выбирает момент загрузки с учетом скорости сети;
Исчезают задержки, связанные с выполнением JavaScript;
Лучше используется встроенная оптимизация и сканеры предзагрузки;
Загрузка страницы становится более плавной и предсказуемой.
Проще говоря, это решение делает загрузку чище, быстрее и эффективнее. Как отмечает Янушка, нововведение также выравнивает поведение видео и аудио с изображениями и iframe, делая работу сайтов более предсказуемой и единообразной.

Функция уже прошла несколько этапов внедрения в Chromium:

Первая реализация — в январе;
Появление в сборках — в феврале;
Переход к распространению — в марте.
Судя по последним изменениям в коде, функция может быть включена по умолчанию в стабильных версиях браузера. Если внедрение продолжится по плану, она может стать доступной уже в Google Chrome 148.

[сергей 999s]

Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения

Компания Google опубликовала релиз web-браузера Chrome 147. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 148 запланирован на 5 мая.

Спойлер   :

Основные изменения в Chrome 147 (1, 2, 3, 4):

Добавлен режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. Вертикальные вкладки могут показываться в развёрнутом (пиктограмма + часть описания) и свёрнутом режимах (только пиктограммы). При наведения курсора на боковую вкладку показывается эскиз с её содержимым. Упрощено управление группами вкладок. В контекстное меню, появляющееся при клике правой кнопкой мыши на строке вкладок, добавлена опция "Показать вкладки вертикально" ("Show Tabs Vertically"). Если опция не появилась по умолчанию, её можно активировать через настройку "chrome://flags/#vertical-tabs".

Переработан режим чтения (reading mode), при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются. В новой версии по аналогии с Firefox значимое содержимое показывается во всей видимой области, а не как раньше в узком боковом окне рядом с исходной страницей. Если новый режим не применяется по умолчанию, его можно активировать через настройку "chrome://flags/#read-anything-immersive-reading-mode".

В меню "Help" добавлена кнопка для отправки жалобы для занесения в список блокировки web-страниц, созданных для мошенничества или фишинга. Кнопка показывается при включённом режиме "Safe Browsing".

Расширены средства защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действие защиты теперь попадают не только попытки загрузки ресурсов по HTTP/HTTPS, запросы fetch() и iframe-вставки, но и установка соединений через WebSockets и WebTransport, а также fetch-запросы, инициированные через метод WindowClient.navigate(). Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети.
Функциональность для разбора XML переведена c libxml2 на новую библиотеку, написанную на языке Rust с оглядкой на обеспечение безопасности. Изменение касается только XML, как было объявлено ранее поддержка XSLT скоро будет прекращена.

Реализована возможность применения метода startViewTransition() не только для всей страницы, но и для отдельных HTML-элементов.
Добавлена CSS-функция contrast-color(), возвращающая противоположный вариант для указанного цвета (для белого вернёт чёрный, а для чёрного - белый). Функцию можно использовать для подбора цвета фона для определённого цвета текста и наоборот.
Добавлено CSS-свойство "border-shape", позволяющего создавать непрямоугольное обрамление элементов, например, использовать рамки круглой или многоугольной формы. CSS-свойство "border-shape" принимает те же виды форм, что и свойство "clip-path", но в отличие от последнего определяет контур, декодирует его и отсекает выходящее за контур содержимое.
Добавлен интерфейс CSSPseudoElement, позволяющий работать с псеведоэлементами CSS из JavaScript.
В элементе link реализована возможность применения атрибута "rel=modulepreload" для упреждающей загрузки не только скриптов, но и модулей с CSS-стилями (<link rel="modulepreload" as="style" href="...">) и данными JSON (<link rel="modulepreload" as="json" href="...">).
Изменено поведение при вычислении ширины рамок и контуров в CSS-свойствах border-width, outline-width и column-rule-width, которое унифицировано с Firefox и браузерами на движке WebKit. До сих пор ширина в указанных свойствах обнулялась, независимо от выставленных в них значений, если свойства border-style, outline-style или column-rule-style имели значение "none" или "hidden". Теперь значения order-width, outline-width и column-rule-width всегда выставляют заданные разработчиком значения, независимо от содержимого свойств "*-style".
Добавлен метод Math.sumPrecise() для вычисления суммы элементов массивов и других перечисляемых объектов с точностью, превышающей точность обычного суммирования в цикле (исключаются потери точности при промежуточном сохранении результатов).
Добавлен атрибут Request.isReloadNavigation, позволяющий определить, что страница была перезагружена, например, после нажатия на кнопку "Refresh" или вызова методов location.reload() и history.go(0).
Для снижения точности косвенной идентификации изменена логика округления размера памяти, возвращаемого через API Device Memory, позволяющего получить сведения о размере оперативной памяти. Данная информация может оказаться полезной для создания легковесных вариантов web-приложений, загружающихся для устройств с небольшим ОЗУ или для активации расширенных возможностей при наличии большого объёма памяти. В сборках для платформы Android размер памяти теперь округляется до 1, 2, 4 и 8, а для других платформ до 2, 4, 8, 16 и 32.
Для изолированных web-приложений (IWA - Isolated Web Apps) реализован API Web Printing, предоставляющий методы для определения наличия принтеров, отправки документов на печать и управления очередью вывода на печать. Используемые в API имена атрибутов и семантика соответствуют протоколу IPP (Internet Printing Protocol).
В режиме "Origin trials" реализован API WebNN, позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.
Внесены улучшения в инструменты для web-разработчиков. Во встроенном AI-ассистенте реализован автоматический выбор контекста. Модернизирована панель "Device Mode", применяемая для тестирования работы сайта на разных мобильных устройствах. В панели Network обеспечено автоматическое декодирование сжатого содержимого запросов, переданных с заголовком Content-Encoding: gzip или deflate. Предоставлена возможность применения регулярных выражений для фильтрации CSS-стилей.

Кроме нововведений и исправления ошибок в новой версии устранено 60 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Двум проблемам (переполнение буфера и целочисленное переполнение в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 60 премий и выплатила 118 тысяч долларов США (две премии $43000, две премии $11000 и по одной премии в $4000, $3000, $2000 и $1000. Размер 52 вознаграждений пока не определён.

[сергей 999s]

Google защитил сессии в Chrome от кражи с помощью технологии DBSC

Google внедрила в браузер Google Chrome новую защиту Device Bound Session Credentials (DBSC), которая привязывает сессионные cookie к конкретному устройству с помощью криптографии. Это делает украденные данные бесполезными для злоумышленников и значительно усложняет атаки инфостилеров

Спойлер   :

Компания Google внедрила защиту Device Bound Session Credentials (DBSC) в Chrome 146 для Windows, предназначенную для предотвращения кражи сессионных файлов куки вредоносным ПО, собирающим данные.

Пользователи macOS получат эту функцию безопасности в одном из будущих релизов Chrome, который пока не был анонсирован.

Новая защита была представлена в 2024 году и работает за счет криптографической привязки пользовательской сессии к конкретному оборудованию, например к защитному чипу компьютера — Trusted Platform Module (TPM) в Windows и Secure Enclave в macOS.

Поскольку уникальные открытые и закрытые ключи для шифрования и расшифровки чувствительных данных генерируются внутри защитного чипа, их невозможно экспортировать с устройства.

[ Гостям не разрешен просмотр вложений ]

Взаимодействие браузера и сервера в рамках протокола DBSC (источник: Google)

Это предотвращает использование украденных данных сессии злоумышленником, так как защищающий их уникальный закрытый ключ не может быть извлечен из устройства.

В заявлении компании говорится:

Выдача новых сессионных файлов куки зависит от того, может ли Chrome подтвердить наличие соответствующего закрытого ключа перед сервером.

Без этого ключа любой перехваченный файл сессионной куки быстро истекает и практически сразу становится бесполезным для злоумышленника.

Сессионный файл куки выполняет роль токена аутентификации, как правило имеет более длительный срок действия, и создается на стороне сервера на основе имени пользователя и пароля.

Сервер использует сессионный cookie для идентификации и отправляет его в браузер, который затем передает его при обращении к онлайн-сервису.

Поскольку такие куки позволяют проходить аутентификацию без повторного ввода учетных данных, злоумышленники используют специализированное вредоносное ПО для их сбора – инфостилеры.

По словам Google, несколько семейств инфостилеров, включая LummaC2, «становятся все более продвинутыми в сборе этих учетных данных», что позволяет хакерам получать доступ к аккаунтам пользователей.

Google заявляет:

Ключевой момент заключается в том, что как только сложное вредоносное ПО получает доступ к устройству, оно может читать локальные файлы и память, где браузеры хранят аутентификационные куки. В результате не существует надежного способа предотвратить их извлечение исключительно программными средствами ни в одной ОС.

Протокол DBSC изначально разработан с учетом конфиденциальности: каждая сессия использует отдельный ключ. Это не позволяет сайтам сопоставлять активность пользователя между разными сессиями или сайтами на одном устройстве.

Кроме того, протокол предполагает минимальный обмен данными: используется только публичный ключ конкретной сессии, необходимый для подтверждения владения, и не передаются идентификаторы устройства.

В течение года тестирования ранней версии DBSC в партнерстве с рядом веб-платформ, включая Okta, Google зафиксировала заметное снижение числа случаев кражи сессий.

Google совместно с Microsoft разработал протокол DBSC как открытый веб-стандарт, при участии специалистов по безопасности из разных компаний отрасли.

Веб-сайты могут перейти на более безопасные сессии с привязкой к устройству, добавив на сервер отдельные конечные точки для регистрации и обновления, без потери совместимости с существующим фронтендом.

Разработчики могут воспользоваться руководством Google для внедрения DBSC. Спецификации доступны на сайте консорциума W3C, а поясняющие материалы опубликованы на GitHub.

[сергей 999s]

Более 100 расширений в Chrome Web Store крадут аккаунты и данные пользователей

Более 100 вредоносных расширений, размещенных в официальном Интернет-магазин Chrome, пытаются похищать OAuth2 Bearer-токены Google, устанавливать бэкдоры и заниматься рекламным мошенничеством

Спойлер   :

Исследователи из компании Socket обнаружили, что эти расширения являются частью скоординированной кампании, использующей общую инфраструктуру управления и контроля (C2).

Злоумышленники публиковали расширения под пятью разными учетными записями разработчиков и в различных категориях: клиенты для боковой панели Telegram, игры (слоты и Keno), расширения для улучшения YouTube и TikTok, инструмент перевода текста и различные утилиты.

По данным исследователей, кампания использует централизованный бэкенд, размещенный на VPS-хостинге Contabo. Через разные поддомены реализуются перехват сессий, сбор идентификационных данных, выполнение команд и операции монетизации.

Socket обнаружила признаки того, что за кампанией стоит русскоязычная модель «вредоносное ПО как услуга» (Malware-as-a-service, MaaS), на что указывают комментарии в коде, связанные с аутентификацией и кражей сессий.

[ Гостям не разрешен просмотр вложений ]

Расширения, связанные с одной и той же вредосной кампанией. Источник: Socket

Сбор данных и захват аккаунтов
Крупнейший кластер с 78 расширениями внедряет вредоносный HTML-код в интерфейс через свойство innerHTML.

Вторая по размеру группа, включающая 54 расширения, использует API chrome.identity.getAuthToken для сбора данных пользователя: электронной почты, имени, фотографии профиля и идентификатора аккаунта Google.

[ Гостям не разрешен просмотр вложений ]

Сбор данных аккаунтов Google. Источник: Socket

Также они похищают OAuth2 Bearer-токен Google — токен доступа с коротким жизненным циклом, который позволяет приложениям получать доступ к данным пользователя и выполнять действия от его имени.

Третья группа из 45 расширений содержит скрытую функцию, запускаемую при старте браузера. Она действует как бэкдор: получает команды с сервера управления и может открывать произвольные URL-адреса. При этом взаимодействие пользователя с расширением не требуется.

Одно из расширений, которое исследователи назвали «наиболее опасным», каждые 15 секунд перехватывает сессии веб-версии Telegram. Оно извлекает данные из localStorage, включая токен сессии, и отправляет их на сервер злоумышленников.

Socket сообщает:

Расширение обрабатывает входящее сообщение set_session_changed, выполняя обратную операцию: очищает localStorage пользователя, записывает туда данные сессии, предоставленные атакующим, и принудительно перезагружает Telegram.

Это позволяет злоумышленникам незаметно переключать браузер жертвы на другой аккаунт Telegram.

Также исследователи обнаружили три расширения, которые удаляют защитные заголовки и внедряют рекламу в YouTube и TikTok, одно расширение, перенаправляющее запросы перевода через вредоносный сервер и неактивное расширение для кражи Telegram-сессий, использующее подготовленную инфраструктуру.

Компания Socket уведомила Google о кампании, однако на момент публикации отчета вредоносные расширения все еще доступны в Интернет-магазин Chrome. Пользователям рекомендуется проверить установленные расширения по списку идентификаторов, опубликованному Socket, и немедленно удалить все совпадения.

[сергей 999s]

5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации

Компания Google сформировала обновление Chrome 147.0.7727.101/102 с исправлением 31 уязвимости, из которых 5 помечены как критические. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что уязвимости вызваны выходом за границы буфера в прослойке ANGLE (трансляция вызовов OpenGL ES в другие графические API) и библиотеке Skia (отрисовка 2D-графики), а также обращениями к уже освобождённой памяти (Use-after-free) в механизме упреждающей отрисовки (Prerender), компонентах для виртуальной реальности (XR) и реализации Proxy-объектов.

Спойлер   :

Дополнительно можно отметить разбор подверженности Chrome различным методам скрытой идентификации, позволяющим в пассивном режиме сформировать идентификаторы браузера на основе косвенных признаков, таких как:

разрешение экрана,
список поддерживаемых MIME-типов,
специфичные параметры в заголовках HTTP/2 и HTTP/3,
анализ установленных шрифтов,
доступность определённых Web API,
анализ истории посещений,
специфичные для видеокарт особенности отрисовки при помощи WebGL, WebGPU и Canvas,
различия в реализации методов обработки звука в API AudioContex и распознавания речи через API SpeechSynthesis,
утечки локальных IP через WebRTC,
анализ состава и порядка перечисления расширений TLS,
особенности отрисовки Emoji,
определение раскладок клавиатуры,
наличие специализированных периферийных устройств и редких датчиков (геймпады, шлемы виртуальной реальности, сенсоры приближения),
различия в калибровке датчиков через API Generic Sensor,
определение Bluetooth-, USB- и HID-устройств через метод getDevices(),
особенности работы математических функций (например, Math.tan(-1e308)),
оценка цветовых схем и данных об обработке цвета через CSS-правило @supports,
привязка к производительности системы через API Performance,
определение установленных дополнений через перебор chrome-extension://[known-id]/[resource],
манипуляции с CSS,
анализ особенностей работы с мышью и клавиатурой.
Отмечается, что в Chrome почти нет встроенных механизмов защиты от скрытой идентификации, а ранее действующие инициативы по усилению конфиденциальности, такие как Privacy Sandbox и Privacy Budget, свёрнуты. Помимо общего описания действующих в Chrome методов скрытой идентификации, показано как можно блокировать их на уровне браузерного дополнения, используя скрипты обработки конента, отладочные возможности (chrome.debugger) и анализ сетевых запросов (chrome.webRequest). Также рассмотрены методы хранения идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies", например, кэш Favicon, база автозаполнения форм).

[сергей 999s]

Обновления Firefox 150.0.1 и Chrome 147.0.7727.137/138 с устранением критических уязвимостей

Доступен корректирующий выпуск Firefox 150.0.1, в котором устранено 28 уязвимостей (19 уязвимостей собрано под CVE-2026-7322, 4 под CVE-2026-7323 и 4 под CVE-2026-7324). Все уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. 19 уязвимостям присвоен критический уровень опасности, подразумевающий возможность исполнения кода атакующего с обходом sandbox-изоляции при открытии специально оформленной web-страницы.

Не связанные с безопасностью изменения в Firefox 150.0.1:

Решена проблема с некорректным отображением выпадающих меню (вместо выпадающего списка все элементы сразу показывались в раскрытом виде).
Исправлена ошибка, приводившая к некорректной загрузке Facebook и других сайтов на системах с установленным антивирусом Bitdefender.
Устранена проблема, приводившая к повторному выводу запроса предоставления доступа к данным о местоположении после отказа предоставить доступ.
Решена проблема, не позволявшая добавить вкладки в некоторых ранее сохранённые группы вкладок.
Устранена ошибка, приводившая к пропаданию рамок и контуров у некоторых элементов страниц после использования масштабирования щипком или умного масштабирования в macOS и Windows.

Компания Google сформировала обновление Chrome 147.0.7727.137/138 с исправлением 30 уязвимостей, из которых 4 помечены как критические. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что уязвимости вызваны обращениями к уже освобождённой памяти (Use-after-free) в Canvas (CVE-2026-7363), средствах для людей с ограниченными возможностями (CVE-2026-7344), компоненте формировании интерфейса Views (CVE-2026-7343) и коде, специфичном для платформы iOS (CVE-2026-7361).

[сергей 999s]

Отчет: Chrome автоматически устанавливает ИИ-модель размером 4 ГБ, без согласия пользователя

Согласно отчету исследователя Александра Ханффа, Chrome 147 автоматически загружает и устанавливает 4-ГБ ИИ-модель Gemini Nano без уведомления и согласия пользователей. Модель повторно скачивается после удаления

Спойлер   :

Google Chrome начал автоматически загружать и устанавливать локальную ИИ-модель weights.bin для работы Gemini Nano. Файл размером около 4 ГБ устанавливается на устройства пользователей без уведомления, согласия или переключателя отключения. Даже если удалить файл вручную, Chrome снова загрузит его без предупреждения. Такое поведение напоминает ситуацию, ранее замеченную в приложении Claude Desktop от компании Anthropic.

Файл weights.bin хранится в каталоге OptGuideOnDeviceModel внутри профиля пользователя Chrome. Его размер достигает 4 ГБ, и он устанавливается на устройства, соответствующие определенным системным требованиям, без запроса разрешения у пользователя и без возможности отключить функцию через обычные настройки браузера. Чтобы предотвратить повторную загрузку после удаления, необходимо отключать функцию через chrome://flags или корпоративные политики. На данный момент скрытая загрузка, судя по всему, затрагивает Windows и macOS.

Во время тестирования Александр Ханфф (Alexander Hanff) обнаружил, что Chrome потребовалось всего 14 минут, чтобы создать папку OptGuideOnDeviceModel и полностью скачать модель, при этом пользователь никак не уведомлялся о загрузке столь крупного файла. По его словам, в действиях Google присутствует множество «тёмных паттернов», аналогичных тем, что ранее наблюдались в  десктопном приложении Claude.

Принудительное внедрение за пределами доверительной модели пользователя
Невидимое включение по умолчанию без согласия (opt-in)
Удалить сложнее, чем установить
Предварительное развертывание функции, которую пользователь не запрашивал
Обобщённое и запутанное название: OptGuideOnDeviceModel вместо GeminiNanoLLM
Регистрация компонента без пользовательской настройки
Отсутствие понятной документации для обычных пользователей
Автоматическая повторная установка после удаления
Сохранение механизма для будущего использования без повторного согласия
Распространение через стабильный канал Chrome
В последней версии Google Chrome также появилась кнопка «Режим ИИ» (AI Mode) в адресной строке. Однако она отправляет запросы на облачные ИИ-серверы. Локальная модель для этого режима не используется — вместо этого она отвечает за такие функции, как помощь в написании текстов.

По словам Ханффа, скрытая установка модели потенциально может нарушать законодательство сразу в нескольких юрисдикциях. Среди возможных нарушений он упоминает статью 5(3) Директивы ePrivacy, которая запрещает хранение информации на пользовательском устройстве без предварительного согласия, а также статьи 5(1) и 25 «Общего регламента по защите данных» (GDPR), требующие прозрачности и защиты данных «по умолчанию» и «на этапе проектирования».

Он также отметил, что распространение модели на устройства пользователей оказывает значительное влияние на климат — по его оценке, это приводит к выбросам около 640 тысяч тонн CO2e. Для пользователей с ограниченным интернет-трафиком или мобильным интернетом такая загрузка может полностью израсходовать доступный пакет данных, при этом люди могут даже не понимать, что именно происходит.

Чтобы решить проблему, Ханфф рекомендует Google запрашивать согласие перед началом загрузки, предоставить простой способ удаления модели и отказаться от автоматической повторной установки после удаления.

[сергей 999s]

Релиз Chrome 148

Компания Google опубликовала релиз web-браузера Chrome 148. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 149 запланирован на 2 июня.

Спойлер   :

Основные изменения в Chrome 148 (1, 2, 3, 4):

Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 148 реализована поддержка применения AI-режима для автозаполнения номеров кредитных карт и адресов (после разрешения пользователя). Возможность использования встроенного чат-бота Gemini расширена на 49 стран из Азиатско-Тихоокеанского региона. Отключить загрузку и запуск AI-моделей на локальной системе пользователя можно через настройки "Система > ИИ на устройстве".

[ Гостям не разрешен просмотр вложений ]

Добавлена возможность автозаполнения в web-формах номеров водительских удостоверений, паспортов, национальных идентификационных карт, KTN-номеров (Known Traveler Number) и RCN-номеров (Redress Control Number), сохранённых в Google Wallet.

Изменено визуальное оформление интерфейса для создания профилей (функциональность осталась прежней).

[ Гостям не разрешен просмотр вложений ]

Для ChromeOS реализован режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. В прошлом выпуске данный режим был предложен для платформ Linux, macOS и Windows.

[ Гостям не разрешен просмотр вложений ]

В версии для Android реализована функция "Enhanced autofill", использующая AI-модель для понимания web-форм и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.
В версии для Android появился режим возвращения сайтам приблизительного, а не точного местоположения.

Добавлены оптимизации, расширяющие применение протокола HTTP/3. Улучшено определение поддержки HTTP/3 на сайтах.
Реализован API Prompt, предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста. API реализован с использованием локальной выполняемой большой языковой модели Gemini Nano (модель занимает 4 ГБ, загружается автоматически и устанавливается в виде файла weights.bin в подкаталог OptGuideOnDeviceModel).
В SharedWorker добавлена опция "extendedLifetime: true" для сохранения активности обработчика после отключения всех клиентов, что позволяет выполнять асинхронные работы после выгрузки страницы (unload) без необходимости использования Service Worker-ов.
CSS-запросы "@container" теперь могут вызываться с использованием только имени контейнера (container-name) без указания типа (container-type).

   #container {
     container-name: --foo;
   }
   @container --foo {
     input { background-color: green; }
   }
В CSS добавлено ключевое слово "revert-rule", позволяющее отменить текущее CSS-правило и применить предыдущее правило.

   div {
     display: if(style(--layout: fancy): grid; else: revert-rule);
   }
Для CSS-свойства "text-decoration-skip-ink" реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами.
В версии для Android добавлена возможность использования API Web Serial для подключения к устройствам с последовательным портом, включая последовательные порты поверх USB или Bluetooth.
В элементах <video> и <audio> появилась возможность указания атрибута "loading=lazy" для загрузки видео и звука только после попадания этих элементов в видимую область во время прокрутки страницы.
Добавлена поддержка второй версии расширения формата Open Font "avar" (Axis Variation table), которое позволяет шрифту изменять привязки между нормализованными и осевыми значениями.
Внесены улучшения в инструменты для web-разработчиков.
Кроме нововведений и исправления ошибок в новой версии устранено 127 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Трём проблемам (целочисленное переполнение в Blink, обращение к уже освобождённой памяти в Chromoting и Mobile) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 26 премий и выплатила 138 тысяч долларов США (по одной премии в $55000, $43000 и $8000, две премии $16000). Размер 21 вознаграждения пока не определён.

Обновление Firefox 150.0.2. За апрель в Firefox устранено 423 уязвимости

Доступен корректирующий выпуск Firefox 150.0.2, в котором устранено 27 уязвимостей (10 уязвимостей собрано под CVE-2026-8093 и 16 под CVE-2026-8092). Все уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Всем уязвимостям присвоен высокий уровень опасности.

Спойлер   :

Отдельно компания Mozilla опубликовала отчёт о проверке кодовой базы Firefox при помощи AI-модели Claude Mythos, достигшей нового уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок. Отмечается, при использовании Mythos практически не было ложных срабатываний, в то время как прошлые попытки использования моделей GPT 4 и Sonnet 3.5 не рассматривались как успешные из-за обилия ложных отчётов. В апреле в Firefox было устранено 423 уязвимости, из которых 271 были выявлены сотрудниками Mozilla при помощи Claude Mythos. 180 уязвимостей из 271 признаны опасными, 80 присвоен умеренный уровень опасности, а 11 - низкий.

Не связанные с безопасностью исправления в Firefox 150.0.2:

Исправлена проблема, приводившая к некорректной работе web-камеры при видеовызовах.
Устранена ошибка, из-за которой на сайтах во внутренних или корпоративных сетях вместо запроса аутентификации показывалась пустая страница.
Исправлена проблема во встроенном PDF-просмотрщике, из-за которой не работала функция выделения текста на отсканированных изображениях.
Исправлена ошибка, из-за которой не исчезала метка "New" в элементе меню Split View.
Решена проблема, приводившая к аварийному завершению процесса-обработчика вкладки после перетаскивания мышью вложенных каталогов на страницу.
Устранено пропадание или некорректное отображение части содержимого при просмотре сайтов с продвинутыми 3D-эффектами.
Исправлена ошибка, мешавшая корректному завершению процедуры создания локальной резервной копии.
Устранено мерцание или сбои при отображении панели навигации и статусной строки при редактировании адреса страницы.
Устранено искажение пиктограмм поисковых рекомендаций, показываемых при вводе в адресной строке.

[сергей 999s]

Новая версия Firefox 151 и обновления Firefox ESR 140.11 и 115.36.0 доступны для загрузки

Mozilla опубликовала Firefox 151 и обновления Firefox ESR (140.11.0, 115.36.0). В новой версии – локальные резервные копии профиля для Linux и macOS, усиленная защита от снятия цифровых отпечатков и поддержка Web Serial API. ESR-выпуски получили исправления безопасности

Спойлер   :

Mozilla выложила на официальный CDN сборки для скачивания: Firefox 151, Firefox ESR 140.11.0 и Firefox ESR 115.36.0.

Официальный анонс и публикация примечаний к выпуску запланированы на 19 мая 2026 года.

Firefox 151 приносит инструмент объединения PDF прямо во встроенном просмотрщике, локальное резервное копирование профиля для пользователей Linux и macOS, расширенные ограничения доступа к локальной сети для всех пользователей и поддержку Web Serial API для работы с микроконтроллерами. ESR-выпуски – стандартный пакет исправлений безопасности для корпоративных и пользователей, которые предпочитают прошлые версии браузера.

Firefox включает систему автоматического обновления. Браузер самостоятельно выполнит проверку новых версий и загрузит обновление, если функция автоматического получения обновлений не была принудительно отключена.

Что нового в Firefox 151

Локальные резервные копии профиля на Linux и macOS
Пользователи Linux и macOS теперь могут создавать локальные резервные копии профиля Firefox с возможностью восстановления между платформами.
Mozilla доработала восстановление расширений и тем: установленные в каталоге профиля компоненты корректно восстанавливаются после переноса профиля в другое расположение или на другую операционную систему.
Усиленная защита от снятия цифровых отпечатков
В стандартном режиме улучшенной защиты от отслеживания (Enhanced Tracking Protection) появились более строгие меры против сбора цифровых отпечатков. Браузер ограничивает объём системной информации, передаваемой сайтам, и затрудняет межсайтовое отслеживание пользователя.
Ограничения доступа к локальной сети для всех пользователей
Ограничения доступа к локальной сети теперь распространяются на всех пользователей. Сайты обязаны запрашивать разрешение перед подключением к устройствам в локальной сети пользователя или к приложениям и сервисам на этом же устройстве.
Ранее эта защита была доступна только в строгом режиме улучшенной защиты от отслеживания.
Очистка данных в приватном режиме
В приватном режиме появилась функция мгновенной очистки всех данных текущей приватной сессии без закрытия всего браузера.
Слияние нескольких PDF во встроенном просмотрщике
В Firefox 151 можно объединить несколько PDF-файлов в один документ прямо во встроенном просмотрщике PDF, без сторонних приложений или онлайн-сервисов.
Поддержка HDR-видео на Windows
В Firefox на Windows 10 и 11 добавлена поддержка HDR-видео на дисплеях, подключённых к видеокартам AMD и NVIDIA. На данный момент исключены ноутбуки с конфигурацией Intel + NVIDIA, поддержка остальных производителей в разработке.
Для активации необходимо включить режим HDR для соответствующих дисплеев в параметрах Windows: «Дисплей».
HDR-видео в Firefox может выглядеть ярче, чем в других браузерах, – Mozilla планирует доработать это и оптимизировать производительность в будущих выпусках.
Улучшения для macOS
URL-адреса, скопированные с устройств iOS через универсальный буфер обмена Apple (Universal Clipboard), теперь корректно вставляются в Firefox.
Выпадающие списки HTML select отображаются как нативные меню macOS, согласованные с остальным интерфейсом системы.
Улучшено управление цветом для скопированных и вставленных изображений.
Исправлена ошибка, при которой развёрнутые окна Firefox после перезапуска могли открываться на неправильном мониторе в многомониторных конфигурациях.
Изменения для Firefox для Android
Добавлен жест на панели инструментов: вертикальный свайп открывает список вкладок.
В настройках появился раздел «Управление ИИ» (AI Controls) для управления функциями с искусственным интеллектом, включая возможность отключения будущих ИИ-функций.
Изменения в настройках и интерфейсе
Строка поиска в настройках Firefox (about:preferences) стала крупнее и занимает всю ширину колонки настроек – поиск по параметрам стал удобнее.
Страница about:translations теперь доступна через раздел «Другие инструменты» меню приложения.

На Windows геолокация теперь учитывает системное разрешение Windows на доступ к местоположению, а не переопределяет его при выдаче разрешения на уровне страницы. Если требуется системное разрешение, Firefox предложит его включить.
Автозаполнение адресов теперь доступно пользователям из Нидерландов.

Изменения для веб-разработчиков

Добавлена поддержка Web Serial API – взаимодействие с устройствами через последовательный порт. Это позволяет программировать микроконтроллеры и платы разработчика (ESP, BBC micro:bit, Raspberry Pi Pico), а также подключать 3D-принтеры, станки с ЧПУ и другие совместимые устройства.
Реализована поддержка Document Picture-in-Picture API – веб-страницы могут размещать произвольный HTML-контент во всплывающем окне поверх остальных. Применимо для видеоконференций, биржевых тикеров, таймеров обратного отсчёта.
Реализована Fullscreen Keyboard Lock API: сайты могут запросить более строгий режим обработки клавиатуры в полноэкранном режиме (выход по Escape через длительное нажатие, перехват ранее зарезервированных горячих клавиш).
Поддержка декларативного назначения слотов для shadow root через атрибут shadowrootslotassignment на элементах template.
Контейнерные запросы стилей (@container style()) – возможность применять стили на основе вычисленных значений пользовательских CSS-свойств родительского контейнера.
Введено новое свойство CSSContainerRule.conditions, содержащее массив всех условий контейнерных запросов. Заменяет устаревшие containerName и containerQuery.
Правила @container теперь поддерживают список условий запроса вместо одного.
Временные разрешения сайтов корректно отражаются в Permissions API.
Улучшен рендеринг абсолютно позиционированных элементов в многоколоночных контейнерах и при печати.
Обновлено поведение неявных якорей в CSS Anchor Positioning: свойство position-anchor по умолчанию принимает значение normal. При использовании position-area неявные якоря применяются автоматически, а всплывающие окна с anchor() или anchor-center требуют position-anchor: auto.
Firefox ESR 140.11.0 и 115.36.0
Оба обновления приносят накопительные исправления безопасности. Соответствующие бюллетени Mozilla (MFSA) будут опубликованы одновременно с релизом, 19 мая 2026 года.
Ветка 140 ESR – текущая ESR, вышла в июле 2025 года на базе Firefox 140 и поддерживается до середины 2026 года. Содержит все функции, добавленные с Firefox 128.
Ветка 115 ESR – продлённая ESR, выпускаемая Mozilla отдельно для пользователей Windows 7/8/8.1 и macOS 10.12–10.14, в которых она поддерживается как последняя совместимая ветвь. Mozilla продлила поддержку Firefox 115 ESR для Windows 7, 8 и 8.1 до конца октября 2026 года
Новых функций в ESR-выпуски нет – только исправления безопасности и стабильности.

[сергей 999s]

Релиз Chrome 149

Компания Google опубликовала релиз web-браузера Chrome 149. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 150 запланирован на 30 июня.

Спойлер   :

Основные изменения в Chrome 149 (1, 2, 3, 4):

В конфигуратор в секцию "Система" ("System") добавлены настройки для управления загрузкой и использованием AI-моделей, выполняемых на устройстве пользователя. Например, можно полностью запретить использование подобных моделей и удалить ранее загруженные модели.

В июне начнётся публикация официальных сборок Chrome 149 для Linux-систем на базе архитектуры ARM64, поставляемых в пакетах deb и rpm. Ранее официальные сборки Chrome для Linux публиковались только для архитектуры x86_64, а для архитектуры ARM64 были доступны только сторонние сборки Chromium, предлагаемые дистрибутивами.
В Service Worker-ах ограничена возможность фоновой загрузки данных, используя API Background Fetch.
В CSS реализована поддержка настройки оформления разделителей между элементами в контейнерах grid и flexbox. Добавлены CSS-свойства column-rule-inset и row-rule-inset для укорачивания или удлинения разделителей, а также column-rule-visibility-items и row-rule-visibility-items для управления видимостью разделителей (только между заполненными элементами или во всех промежутках сетки). Ширину, цвет и отступы можно анимировать с помощью переходных эффектов (transition), активируемых, например, при наведении курсора.
Убрано влияние активных WebSocket-соединений на сохранение страницы в кэше перехода (BFCache - Back-forward cache), обеспечивающем мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по уже просмотренным страницам текущего сайта. Ранее наличие WebSocket-соединения не позволяло поместить страницу к кэш и приводило к необходимости её полной перезагрузки при нажатии кнопок "Назад" или "Вперёд".
В CSS-свойстве shape-outside реализована возможность использования функций path(), shape(), rect() и xywh().
В CSS-свойство "image-rendering" добавлено значение "crisp-edges", предписывающее масштабировать изображение без размытия с сохранением контраста и чётких границ.
Добавлено CSS-свойство path-length, позволяющее изменять атрибут pathLength в SVG.
В объект Intl.Locale добавлена возможность задавать и получить информацию об используемом варианте языка.
Внесены улучшения в инструменты для web-разработчиков, в которых стабилизирована реализация MCP-сервера (Model Context Protocol) и интерфейса командной строки для AI-агентов. Добавлена возможность эмуляции собственных HTTP-заголовков. Значительное переработана панель AI-ассистента. Реализована экспериментальная возможность отладки страниц, использующих API WebMCP. В панель CSS добавлена поддержка автодополнения стилей, используя AI-модель Gemini.

[сергей 999s]

В Chrome устранено 429 уязвимостей, а в Android - 124

Компания Google внесла изменения в объявление о выпуске Chrome 149, в котором раскрыла сведения об устранении 429 уязвимостей. 22 уязвимости отмечены как критические, а 87 - как опасные. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, упомянуто только, что большая часть критических проблем вызвана переполнением буфера или обращением к уже освобождённой памяти в компонентах ANGLE, Ozone, Chromecast, Chromoting, GFX и процессе для взаимодействия с GPU. Наибольший размер вознаграждения за уязвимость составил 97 тысяч долларов.

Дополнительно можно отметить публикацию июньского отчёта об уязвимостях в Android, в котором упомянуто 124 уязвимости. 18 уязвимостям присвоен критический уровень опасности. 2 критические уязвимости присутствуют во фреймворках и позволяют совершить удалённую атаку для выполнения своего кода в системе без необходимости совершения пользователем каких-либо действий. 13 критических уязвимостей присутствуют в системных компонентах и позволяют поднять свои привилегии в системе. 3 критические проблемы выявлены в проприетарных компонентах Qualcomm.