Браузеры (новости, обсуждение)

[vladimir1949]

Выпуск Firefox 148.0.2. Продление поддержки Firefox 115. Проверка Firefox AI-моделью Claude Opus
11.03.2026 08:39

Доступен корректирующий выпуск Firefox 148.0.2, в котором устранено 5 уязвимостей. 4 уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Одно из переполнений буфера затрагивает код для воспроизведения звука и видео в версии для Android. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Не связанная с памятью проблема присутствует в коде разбора CSS и позволяет обойти ограничения Same-origin.

Среди не связанных с безопасностью исправлений:

Спойлер   :

1.Устранено некорректное перенаправление на адресную строку при вводе поискового запроса на странице открытия новой вкладки.

2.Исправлена ошибка, приводившая к невозможности изменения форматирования в некоторых web-редакторах текста (например, переставало работать выделение жирным или курсивом).

3.Устранена проблема с автоматическим запуском воспроизведения видео на YouTube, несмотря на включение блокировки автоматического воспроизведения. Проблема проявлялась если после открытия страницы с видео удерживать клавишу Ctrl, что часто используется на системах с экранными ридерами.

4.Исправлена ​​ошибка, из-за которой вместо размещения по центру некоторые элементы с абсолютным позиционированием при загрузке выравнивались по левому краю.

5.Исправлена ошибка, из-за которой выводилась пустая рекомендация переключения на вкладку для страниц без тега "title".

6.Устранена проблема, приводившая к снижению качества видео на Windows-системах с GPU NVIDIA при включении режима Video Super Resolution.

Несколько других событий, связанных с Firеfox:

1.Компания Mozilla отменила решение о прекращении поддержки ESR-ветки Firefox 115 и продлила публикацию обновлений до конца августа. При этом поддержка будет ограничиваться только платформами Windows 7-8.1 и macOS 10.12-10.14, для других операционных систем работоспособность Firefox 115 не гарантируется. По статистике Mozilla от 2 марта 2026 года 5.33% пользователей Firefox продолжают использование Windows 7. Заявлено, что в июле Mozilla примет решение о дальнейшей судьбе ветки Firefox 115.

2.Раскрыты подробности об аномально высоком числе уязвимостей (60 вместо типичных 10-20), устранённых в выпуске Firefox 148. В состав Firefox 148 были включены исправления проблем, обнаруженных в результате совместной инициативы по повышению безопасности Firefox, проведённой Mozilla совместно с компанией Anthropic. В ходе анализа кодовой базы Firefox с использованием AI-модели Claude Opus 4.6 были выявлены 22 подтверждённые уязвимости, 14 из которых присвоен высокий уровень опасности. Попутно было найдено 90 ошибок, не связанных с безопасностью. В качестве демонстрации возможностей AI, для одной из уязвимостей (CVE-2026-2796) модель Claude Opus 4.6 была использована для создания рабочего эксплоита.

3.В стабильных сборках Firefox на странице about:config появилась настройка "browser.tabs.notes.enabled", позволяющая активировать экспериментальную функцию Tab Notes для прикрепления произвольных примечаний к вкладкам. Кнопка для добавления заметок помещена в контекстное меню и также показывается на эскизе, появляющемся при наведении курсора на вкладке.

[сергей 999s]

Google исправил две активно эксплуатируемые уязвимости «нулевого дня» в браузере Chrome

Google выпустила обновление безопасности для браузера Chrome, устранив две активно эксплуатируемые уязвимости нулевого дня — CVE-2026-3909 и CVE-2026-3910. Ошибки затрагивают графическую библиотеку Skia и JavaScript-движок V8 и могут позволить злоумышленникам выполнить произвольный код

Спойлер   :

Компания Google выпустила внеплановые обновления безопасности для браузера Chrome, устраняющие две уязвимости высокой степени опасности, которые уже активно используются в атаках.

В бюллетене безопасности сообщается:

Google известно о существовании эксплойтов для уязвимостей CVE-2026-3909 и CVE-2026-3910, применяемых в реальных атаках.

Первая уязвимость нулевого дня (CVE-2026-3909) связана с ошибкой записи за пределами выделенной области памяти библиотеке Skia. Это открытая библиотека двумерной графики, используемая Chrome для рендеринга веб-контента и элементов пользовательского интерфейса. Эксплуатация данной уязвимости может позволить злоумышленникам вызвать сбой браузера или даже добиться выполнения произвольного кода на системе жертвы.

Вторая уязвимость (CVE-2026-3910) описывается как ошибка некорректной реализации в движке V8, который используется в Chrome для выполнения JavaScript и WebAssembly.

Google обнаружил обе уязвимости и выпустил исправления всего через два дня после их выявления. Обновления уже начали распространяться для пользователей стабильного канала Chrome на настольных платформах. Новые версии браузера получили следующие номера:

Chrome для Windows — 146.0.7680.75
Chrome для macOS — 146.0.7680.76
Chrome для Linux — 146.0.7680.75

Google отмечает, что распространение внепланового обновления может занять от нескольких дней до нескольких недель.

Если вы не хотите обновлять браузер вручную, можно просто оставить включенной автоматическую проверку обновлений — в этом случае Chrome самостоятельно обнаружит новую версию и установит ее при следующем запуске браузера.

Несмотря на то что Google обнаружил признаки активной эксплуатации этой уязвимости нулевого дня в реальных атаках, компания не раскрыла дополнительных подробностей об этих инцидентах.

Компания сообщает:

Доступ к деталям уязвимости и связанным материалам может оставаться ограниченным до тех пор, пока большинство пользователей не установит исправление. Мы также сохраняем ограничения в тех случаях, когда уязвимость находится в сторонней библиотеке, от которой зависят другие проекты, но для которой исправление еще не выпущено.

Эти уязвимости стали второй и третьей активно эксплуатируемыми уязвимостями «нулевого дня» в Chrome, исправленными с начала 2026 года. Первая из них, отслеживаемая под идентификатором CVE-2026-2441, была устранена в середине февраля.. Она представляла собой ошибку типа «iterator invalidation» в компоненте CSSFontFeatureValuesMap, который является реализацией в Chrome механизма CSS для работы со значениями типографических функций шрифтов.

В прошлом году Google исправил в общей сложности восемь уязвимостей нулевого дня, которые уже использовались в атаках. Многие из них были обнаружены исследователями Threat Analysis Group (TAG) — специальной командой компании по анализу угроз.

Кроме того, в четверг Google сообщил, что в 2025 году выплатил более 17 миллионов долларов 747 специалистам по безопасности, которые сообщили об уязвимостях через программу Vulnerability Reward Program (VRP).

[сергей 999s]

Выпуск Chrome 146. Анонсированы официальные Linux-сборки Chrome для ARM64

Компания Google опубликовала релиз web-браузера Chrome 146. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 147 запланирован на 7 апреля.

Отдельно компания Google анонсировала публикацию официальных сборок Chrome для Linux-систем на базе архитектуры ARM64. Linux-сборки для ARM64 начнут формироваться во втором квартале 2026 года и будут доступны в пакетах deb и rpm. Ранее официальные сборки Chrome для Linux публиковались только для архитектуры x86_64, а для архитектуры ARM64 были доступны только сторонние сборки Chromium, предлагаемые дистрибутивами. Официальная версия Chrome отличается поддержкой подключения к учётной записи в Google, интеграцией сервисов Google, синхронизацией данных между устройствами, упрощённой установкой дополнений из каталога Chrome Web Store и возможностью включения расширенного режима защиты.

Основные изменения в Chrome 146:

Спойлер   :

Для части пользователей включён механизм выборочного ограничения полномочий (Selective permission intervention), который блокирует доступ связанных с показом рекламы JavaScript-скриптов к возможностям, влияющим на конфиденциальность, таким как доступ к информации о местоположении, микрофону, буферу обмена, Bluetooth, USB, последовательному порту и захвату экрана. Идея в том, что если пользователь предоставил странице доступ к подобным возможностям, то эти разрешения не будут применяться для размещённых на этой странице сторонних скриптов, загружаемых с других сайтов (обособленно через тег iframe или напрямую через тег script).
Изменена структура настроек, связанных с обеспечением безопасности. Для упрощения пользователю предоставлена возможность выбора между стандартным и усиленным уровнем защиты, что позволяет получить желаемый уровень безопасности без необходимости разбираться в деталях и расширенных опциях. При выборе усиленного режима дополнительно выполняется проверка URL и содержимого на серверах Google, выводятся предупреждения для незащищённых соединений и замедляется работа нетипичных для пользователя сайтов для блокирования атак. При желании пользователь может вернуться к старой схеме раздельного конфигурирования каждой настройки. Для управления включением нового оформления настроек безопасности предложен параметр "chrome://flags/#bundled-security-settings".

Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 146 реализована возможность использования файлов из хранилища Google Drive в качестве контекста для AI-агента.
В режиме автоматического заполнения полей предоставлена возможность использования дополнительных типов данных, которые ранее были доступны только при включении режима расширенного автозаполнения (Enhanced autofill).
Началось постепенное включение у пользователей защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действия защиты попадают попытки загрузки ресурсов, запросы fetch() и iframe-вставки. Защита пока не применяется для соединений через WebSockets, WebTransport и WebRTC, но будет добавлена для них в следующем выпуске.
Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Для управления попаданием подсетей в категорию внутренних или публичных предложена настройка LocalNetworkAccessIpAddressSpaceOverrides, а для автоматического разрешения доступа для дочерних iframe на основании полномочий родительского iframe-а добавлена настройка LocalNetworkAccessPermissionsPolicyDefaultEnabled.

Добавлены CSS-свойства "animation-trigger" и "trigger-scope" для управления анимацией на основе позиции прокрутки страницы. Например, можно запускать, останавливать или перезапускать анимацию при достижении определённой позиции прокрутки, обходясь только декларативным CSS без использования кода на JavaScript.
Реализована поддержка реестра пользовательских элементов для разделения области видимости пользовательских HTML-элементов, что может потребоваться при использовании на одной странице нескольких разных пользовательских HTML-элементов, имеющих одно и то же имя. В случае использования на странице нескольких библиотек, определяющих элемент с одинаковым именем, при помощи JavaScript-объекта CustomElementRegistry элементы каждой библиотеки можно закрепить за определёнными частями иерархии DOM. Например, если две библиотеки определяют разные элементы с одинаковым именем <my-button>, то в одной части страницы можно использовать элемент <my-button> из первой библиотеки, а на другой - из второй.
Добавлен API Sanitizer, который может быть полезен для чистки поступающих извне данных и вырезания из них HTML-тегов, которые могут использоваться для совершения XSS-атак. API предоставляет методы для манипуляции HTML и вырезания из содержимого HTML-элементов, влияющих на отображение и исполнение. Для безопасной вставки HTML-содержимого предложен метод element.setHTML(), похожий на element.innerHTML, но защищающий от межсайтового скриптинга (XSS). Для безопасного разбора HTML реализован метод document.parseHTML().

   const unsanitizedString = "abc <script>alert(1)<" + "/script> def";

   const sanitizer1 = new Sanitizer({
     elements: ["div", "p", "button", "script"],
   });
   const target = document.getElementById("target");
   target.setHTML(unsanitizedString, { sanitizer: sanitizer1 });
В элементе "meta" реализован параметр с именем "text-scale" (например, <meta name="text-scale" content="scale">), включающий автоматическое масштабирование размера шрифта на странице в соответствии с настройками браузера и операционной системы, если на странице используются относительные единицы измерения (rem и em).
В API WebGPU добавлен опциональный режим совместимости, предоставляющий подмножество функций, способных работать на системах с устаревшими графическими API, такими как OpenGL и Direct3D11.
В JavaScript добавлена возможность объединять несколько итераторов в один с помощью метода Iterator.concat().
В режиме "Origin trials" реализован API WebNN, позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.
В режиме "Origin trials" реализован API CPU Performance для получения информации об уровне производительности и характеристиках процессора (число ядер, тип, архитектура, модель, частота и т.п.).
В режиме "Origin trials" добавлен атрибут "focusgroup", позволяющий вместо табуляции использовать клавиши управления курсором для перемещения между кнопками или другими элементами, связанными с переключением фокуса.
Внесены улучшения в инструменты для web-разработчиков. В web-консоли обеспечено сохранение результатов редактирования команд при навигации по истории операций. В панели Elements реализовано отображение CSS-стилей, добавленных программно к Shadow DOM, через отдельный узел "#adopted-style-sheets" в дереве DOM, по аналогии с просмотром и редактированием стилей, определённых через тег <style>.

Кроме нововведений и исправления ошибок в новой версии устранено 29 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одной из проблем (переполнение буфера в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимость позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 29 премий и выплатила 211 тысяч долларов США, что стало рекордом по размеру выплат в рамках одного релиза (две премии $43000, по одной премии в $36000, $33000, $11000 и $7000, по две премии в $10000 и $3000, по 4 премии в $2000 и $1000). Размер 12 вознаграждений пока не определён.

[сергей 999s]

Google исправил уязвимость «нулевого дня» в компоненте WebGPU (Dawn) браузера Chrome

Google выпустила экстренное обновление Chrome, устраняющее уязвимость нулевого дня CVE-2026-5281 в компоненте WebGPU (Dawn), которая уже использовалась в реальных атаках

Спойлер   :

Компания Google выпустила экстренные обновления для устранения очередной уязвимости «нулевого дня» в Chrome, которая использовалась в реальных атаках. Это уже четвертая подобная уязвимость, исправленная с начала года.

В бюллетени безопасности компания сообщила:

Google известно о наличии в сети эксплоита для уязвимости CVE-2026-5281.

Уязвимость в WebGPU (Dawn)
В истории коммитов Chromium указано, что эта уязвимость связана с использованием данных после освобождения памяти в Dawn – базовой кроссплатформенной реализации стандарта WebGPU, используемой в проекте Chromium.

Злоумышленники могут использовать эту уязвимость в Dawn для вызова сбоев в работе веб-браузера, повреждения данных, проблем с отображением или других аномалий в поведении.

Хотя Google обнаружил доказательства того, что злоумышленники использовали эту уязвимость «нулевого дня» в реальных условиях, компания не раскрывает подробностей об этих инцидентах.

Google отмечает:

Доступ к подробностям об ошибке и ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не обновят свои системы с исправлением. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но которая еще не исправлена.

Обновление Chrome
Уязвимость «нулевого дня» закрыта в стабильной версии Google Chrome для компьютеров: выпущены обновления для Windows, macOS (146.0.7680.177/178) и Linux (146.0.7680.177). Google предупреждает, что распространение может занять несколько дней или недель, однако обновление уже доступно. Если не хотите обновлять браузер вручную, включите автоматическую проверку – обновление установится при следующем запуске.

Другие уязвимости нулевого дня в 2026 году
Это четвертая уязвимость нулевого дня в Chrome, активно используемая злоумышленниками, исправленная с начала года. Первая (CVE-2026-2441) представляла собой ошибку недействительности итератора в CSSFontFeatureValuesMap (реализация значений функций шрифтов CSS в Chrome), которую Google устранила в середине февраля.

В начале месяца Chrome также получил исправления для двух других уязвимостей «нулевого дня», которые уже использовались в атаках. Первая – ошибка выхода за границы памяти в графической библиотеке Skia (CVE-2026-3909). Вторая – некорректная реализация в движке V8 JavaScript engine и WebAssembly (CVE-2026-3910).

За 2025 год Google устранил восемь уязвимостей нулевого дня, активно применявшихся в реальных атаках. Многие из них обнаружила команда Google Threat Analysis Group, которая специализируется на выявлении эксплойтов, в том числе используемых в шпионском ПО.

[сергей 999s]

В Chrome появится нативная «ленивая загрузка» видео и аудио – это ускорит работу браузера

В браузере Google Chrome готовится важное улучшение производительности: нативная «ленивая загрузка» теперь появится не только для изображений, но и для видео и аудио. Это позволит ускорить открытие страниц, снизить расход трафика и сделать работу сайтов более плавной без сложных JavaScript-решений

Спойлер   :

Если при открытии страницы вы замечали задержку, особенно на сайтах с большим количеством видео и медиа, то грядущее обновление Chrome может решить проблему. На протяжении многих лет браузеры на базе Chromium — включая Microsoft Edge и Vivaldi — поддерживали ленивую загрузку. Однако она работала только для изображений и iframe. Для видео и аудио это было не совсем так. Скоро ситуация изменится. Благодаря предложению независимого разработчика Хельмута Янушки браузеры на базе Chromium готовятся получить нативную ленивую загрузку и для видео- и аудиоэлементов. И хотя это может звучать как небольшая техническая деталь, на практике это способно сделать работу в браузере заметно более плавной.

Как работает «ленивая загрузка»
Обычно при открытии веб-страницы браузер пытается загрузить все сразу: изображения, видео, аудио, рекламу — буквально весь контент. Очевидно, это не лучшим образом сказывается на скорости. Ленивая загрузка работает иначе. Вместо того чтобы подгружать все заранее, браузер откладывает загрузку и подгружает элементы только тогда, когда вы почти дошли до них на странице. Например, если видео или изображение находятся ниже, они не будут загружены, пока вы не прокрутите страницу ближе к ним. А если вы до них так и не дойдете, они могут вообще не загрузиться. В итоге страницы открываются быстрее, трафик расходуется экономнее, а работа в браузере становится более плавной.

Вот здесь начинается самое интересное. Сайты уже используют ленивую загрузку для видео и аудио, но чаще всего делают это через обходные решения на JavaScript. Это работает, но далеко не идеально. Обычно разработчики используют инструменты вроде Intersection Observer, чтобы отследить появление элемента в зоне видимости и вручную запустить его загрузку. Такой подход громоздкий, подвержен ошибкам и не всегда хорошо сочетается с нативными оптимизациями браузера. Предложение Хельмута Янушки упрощает эту схему: вместо дополнительного кода можно просто добавить нативный HTML-атрибут loading="lazy" прямо к видео и аудио. Это делает процесс значительно проще и чище.

Почему нативная поддержка важна
Когда браузер сам управляет ленивой загрузкой, он справляется с этим эффективнее:

Браузер сам оптимально выбирает момент загрузки с учетом скорости сети;
Исчезают задержки, связанные с выполнением JavaScript;
Лучше используется встроенная оптимизация и сканеры предзагрузки;
Загрузка страницы становится более плавной и предсказуемой.
Проще говоря, это решение делает загрузку чище, быстрее и эффективнее. Как отмечает Янушка, нововведение также выравнивает поведение видео и аудио с изображениями и iframe, делая работу сайтов более предсказуемой и единообразной.

Функция уже прошла несколько этапов внедрения в Chromium:

Первая реализация — в январе;
Появление в сборках — в феврале;
Переход к распространению — в марте.
Судя по последним изменениям в коде, функция может быть включена по умолчанию в стабильных версиях браузера. Если внедрение продолжится по плану, она может стать доступной уже в Google Chrome 148.

[сергей 999s]

Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения

Компания Google опубликовала релиз web-браузера Chrome 147. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 148 запланирован на 5 мая.

Спойлер   :

Основные изменения в Chrome 147 (1, 2, 3, 4):

Добавлен режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. Вертикальные вкладки могут показываться в развёрнутом (пиктограмма + часть описания) и свёрнутом режимах (только пиктограммы). При наведения курсора на боковую вкладку показывается эскиз с её содержимым. Упрощено управление группами вкладок. В контекстное меню, появляющееся при клике правой кнопкой мыши на строке вкладок, добавлена опция "Показать вкладки вертикально" ("Show Tabs Vertically"). Если опция не появилась по умолчанию, её можно активировать через настройку "chrome://flags/#vertical-tabs".

Переработан режим чтения (reading mode), при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются. В новой версии по аналогии с Firefox значимое содержимое показывается во всей видимой области, а не как раньше в узком боковом окне рядом с исходной страницей. Если новый режим не применяется по умолчанию, его можно активировать через настройку "chrome://flags/#read-anything-immersive-reading-mode".

В меню "Help" добавлена кнопка для отправки жалобы для занесения в список блокировки web-страниц, созданных для мошенничества или фишинга. Кнопка показывается при включённом режиме "Safe Browsing".

Расширены средства защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действие защиты теперь попадают не только попытки загрузки ресурсов по HTTP/HTTPS, запросы fetch() и iframe-вставки, но и установка соединений через WebSockets и WebTransport, а также fetch-запросы, инициированные через метод WindowClient.navigate(). Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети.
Функциональность для разбора XML переведена c libxml2 на новую библиотеку, написанную на языке Rust с оглядкой на обеспечение безопасности. Изменение касается только XML, как было объявлено ранее поддержка XSLT скоро будет прекращена.

Реализована возможность применения метода startViewTransition() не только для всей страницы, но и для отдельных HTML-элементов.
Добавлена CSS-функция contrast-color(), возвращающая противоположный вариант для указанного цвета (для белого вернёт чёрный, а для чёрного - белый). Функцию можно использовать для подбора цвета фона для определённого цвета текста и наоборот.
Добавлено CSS-свойство "border-shape", позволяющего создавать непрямоугольное обрамление элементов, например, использовать рамки круглой или многоугольной формы. CSS-свойство "border-shape" принимает те же виды форм, что и свойство "clip-path", но в отличие от последнего определяет контур, декодирует его и отсекает выходящее за контур содержимое.
Добавлен интерфейс CSSPseudoElement, позволяющий работать с псеведоэлементами CSS из JavaScript.
В элементе link реализована возможность применения атрибута "rel=modulepreload" для упреждающей загрузки не только скриптов, но и модулей с CSS-стилями (<link rel="modulepreload" as="style" href="...">) и данными JSON (<link rel="modulepreload" as="json" href="...">).
Изменено поведение при вычислении ширины рамок и контуров в CSS-свойствах border-width, outline-width и column-rule-width, которое унифицировано с Firefox и браузерами на движке WebKit. До сих пор ширина в указанных свойствах обнулялась, независимо от выставленных в них значений, если свойства border-style, outline-style или column-rule-style имели значение "none" или "hidden". Теперь значения order-width, outline-width и column-rule-width всегда выставляют заданные разработчиком значения, независимо от содержимого свойств "*-style".
Добавлен метод Math.sumPrecise() для вычисления суммы элементов массивов и других перечисляемых объектов с точностью, превышающей точность обычного суммирования в цикле (исключаются потери точности при промежуточном сохранении результатов).
Добавлен атрибут Request.isReloadNavigation, позволяющий определить, что страница была перезагружена, например, после нажатия на кнопку "Refresh" или вызова методов location.reload() и history.go(0).
Для снижения точности косвенной идентификации изменена логика округления размера памяти, возвращаемого через API Device Memory, позволяющего получить сведения о размере оперативной памяти. Данная информация может оказаться полезной для создания легковесных вариантов web-приложений, загружающихся для устройств с небольшим ОЗУ или для активации расширенных возможностей при наличии большого объёма памяти. В сборках для платформы Android размер памяти теперь округляется до 1, 2, 4 и 8, а для других платформ до 2, 4, 8, 16 и 32.
Для изолированных web-приложений (IWA - Isolated Web Apps) реализован API Web Printing, предоставляющий методы для определения наличия принтеров, отправки документов на печать и управления очередью вывода на печать. Используемые в API имена атрибутов и семантика соответствуют протоколу IPP (Internet Printing Protocol).
В режиме "Origin trials" реализован API WebNN, позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.
Внесены улучшения в инструменты для web-разработчиков. Во встроенном AI-ассистенте реализован автоматический выбор контекста. Модернизирована панель "Device Mode", применяемая для тестирования работы сайта на разных мобильных устройствах. В панели Network обеспечено автоматическое декодирование сжатого содержимого запросов, переданных с заголовком Content-Encoding: gzip или deflate. Предоставлена возможность применения регулярных выражений для фильтрации CSS-стилей.

Кроме нововведений и исправления ошибок в новой версии устранено 60 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Двум проблемам (переполнение буфера и целочисленное переполнение в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 60 премий и выплатила 118 тысяч долларов США (две премии $43000, две премии $11000 и по одной премии в $4000, $3000, $2000 и $1000. Размер 52 вознаграждений пока не определён.

[сергей 999s]

Google защитил сессии в Chrome от кражи с помощью технологии DBSC

Google внедрила в браузер Google Chrome новую защиту Device Bound Session Credentials (DBSC), которая привязывает сессионные cookie к конкретному устройству с помощью криптографии. Это делает украденные данные бесполезными для злоумышленников и значительно усложняет атаки инфостилеров

Спойлер   :

Компания Google внедрила защиту Device Bound Session Credentials (DBSC) в Chrome 146 для Windows, предназначенную для предотвращения кражи сессионных файлов куки вредоносным ПО, собирающим данные.

Пользователи macOS получат эту функцию безопасности в одном из будущих релизов Chrome, который пока не был анонсирован.

Новая защита была представлена в 2024 году и работает за счет криптографической привязки пользовательской сессии к конкретному оборудованию, например к защитному чипу компьютера — Trusted Platform Module (TPM) в Windows и Secure Enclave в macOS.

Поскольку уникальные открытые и закрытые ключи для шифрования и расшифровки чувствительных данных генерируются внутри защитного чипа, их невозможно экспортировать с устройства.

[ Гостям не разрешен просмотр вложений ]

Взаимодействие браузера и сервера в рамках протокола DBSC (источник: Google)

Это предотвращает использование украденных данных сессии злоумышленником, так как защищающий их уникальный закрытый ключ не может быть извлечен из устройства.

В заявлении компании говорится:

Выдача новых сессионных файлов куки зависит от того, может ли Chrome подтвердить наличие соответствующего закрытого ключа перед сервером.

Без этого ключа любой перехваченный файл сессионной куки быстро истекает и практически сразу становится бесполезным для злоумышленника.

Сессионный файл куки выполняет роль токена аутентификации, как правило имеет более длительный срок действия, и создается на стороне сервера на основе имени пользователя и пароля.

Сервер использует сессионный cookie для идентификации и отправляет его в браузер, который затем передает его при обращении к онлайн-сервису.

Поскольку такие куки позволяют проходить аутентификацию без повторного ввода учетных данных, злоумышленники используют специализированное вредоносное ПО для их сбора – инфостилеры.

По словам Google, несколько семейств инфостилеров, включая LummaC2, «становятся все более продвинутыми в сборе этих учетных данных», что позволяет хакерам получать доступ к аккаунтам пользователей.

Google заявляет:

Ключевой момент заключается в том, что как только сложное вредоносное ПО получает доступ к устройству, оно может читать локальные файлы и память, где браузеры хранят аутентификационные куки. В результате не существует надежного способа предотвратить их извлечение исключительно программными средствами ни в одной ОС.

Протокол DBSC изначально разработан с учетом конфиденциальности: каждая сессия использует отдельный ключ. Это не позволяет сайтам сопоставлять активность пользователя между разными сессиями или сайтами на одном устройстве.

Кроме того, протокол предполагает минимальный обмен данными: используется только публичный ключ конкретной сессии, необходимый для подтверждения владения, и не передаются идентификаторы устройства.

В течение года тестирования ранней версии DBSC в партнерстве с рядом веб-платформ, включая Okta, Google зафиксировала заметное снижение числа случаев кражи сессий.

Google совместно с Microsoft разработал протокол DBSC как открытый веб-стандарт, при участии специалистов по безопасности из разных компаний отрасли.

Веб-сайты могут перейти на более безопасные сессии с привязкой к устройству, добавив на сервер отдельные конечные точки для регистрации и обновления, без потери совместимости с существующим фронтендом.

Разработчики могут воспользоваться руководством Google для внедрения DBSC. Спецификации доступны на сайте консорциума W3C, а поясняющие материалы опубликованы на GitHub.

[сергей 999s]

Более 100 расширений в Chrome Web Store крадут аккаунты и данные пользователей

Более 100 вредоносных расширений, размещенных в официальном Интернет-магазин Chrome, пытаются похищать OAuth2 Bearer-токены Google, устанавливать бэкдоры и заниматься рекламным мошенничеством

Спойлер   :

Исследователи из компании Socket обнаружили, что эти расширения являются частью скоординированной кампании, использующей общую инфраструктуру управления и контроля (C2).

Злоумышленники публиковали расширения под пятью разными учетными записями разработчиков и в различных категориях: клиенты для боковой панели Telegram, игры (слоты и Keno), расширения для улучшения YouTube и TikTok, инструмент перевода текста и различные утилиты.

По данным исследователей, кампания использует централизованный бэкенд, размещенный на VPS-хостинге Contabo. Через разные поддомены реализуются перехват сессий, сбор идентификационных данных, выполнение команд и операции монетизации.

Socket обнаружила признаки того, что за кампанией стоит русскоязычная модель «вредоносное ПО как услуга» (Malware-as-a-service, MaaS), на что указывают комментарии в коде, связанные с аутентификацией и кражей сессий.

[ Гостям не разрешен просмотр вложений ]

Расширения, связанные с одной и той же вредосной кампанией. Источник: Socket

Сбор данных и захват аккаунтов
Крупнейший кластер с 78 расширениями внедряет вредоносный HTML-код в интерфейс через свойство innerHTML.

Вторая по размеру группа, включающая 54 расширения, использует API chrome.identity.getAuthToken для сбора данных пользователя: электронной почты, имени, фотографии профиля и идентификатора аккаунта Google.

[ Гостям не разрешен просмотр вложений ]

Сбор данных аккаунтов Google. Источник: Socket

Также они похищают OAuth2 Bearer-токен Google — токен доступа с коротким жизненным циклом, который позволяет приложениям получать доступ к данным пользователя и выполнять действия от его имени.

Третья группа из 45 расширений содержит скрытую функцию, запускаемую при старте браузера. Она действует как бэкдор: получает команды с сервера управления и может открывать произвольные URL-адреса. При этом взаимодействие пользователя с расширением не требуется.

Одно из расширений, которое исследователи назвали «наиболее опасным», каждые 15 секунд перехватывает сессии веб-версии Telegram. Оно извлекает данные из localStorage, включая токен сессии, и отправляет их на сервер злоумышленников.

Socket сообщает:

Расширение обрабатывает входящее сообщение set_session_changed, выполняя обратную операцию: очищает localStorage пользователя, записывает туда данные сессии, предоставленные атакующим, и принудительно перезагружает Telegram.

Это позволяет злоумышленникам незаметно переключать браузер жертвы на другой аккаунт Telegram.

Также исследователи обнаружили три расширения, которые удаляют защитные заголовки и внедряют рекламу в YouTube и TikTok, одно расширение, перенаправляющее запросы перевода через вредоносный сервер и неактивное расширение для кражи Telegram-сессий, использующее подготовленную инфраструктуру.

Компания Socket уведомила Google о кампании, однако на момент публикации отчета вредоносные расширения все еще доступны в Интернет-магазин Chrome. Пользователям рекомендуется проверить установленные расширения по списку идентификаторов, опубликованному Socket, и немедленно удалить все совпадения.

[сергей 999s]

5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации

Компания Google сформировала обновление Chrome 147.0.7727.101/102 с исправлением 31 уязвимости, из которых 5 помечены как критические. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что уязвимости вызваны выходом за границы буфера в прослойке ANGLE (трансляция вызовов OpenGL ES в другие графические API) и библиотеке Skia (отрисовка 2D-графики), а также обращениями к уже освобождённой памяти (Use-after-free) в механизме упреждающей отрисовки (Prerender), компонентах для виртуальной реальности (XR) и реализации Proxy-объектов.

Спойлер   :

Дополнительно можно отметить разбор подверженности Chrome различным методам скрытой идентификации, позволяющим в пассивном режиме сформировать идентификаторы браузера на основе косвенных признаков, таких как:

разрешение экрана,
список поддерживаемых MIME-типов,
специфичные параметры в заголовках HTTP/2 и HTTP/3,
анализ установленных шрифтов,
доступность определённых Web API,
анализ истории посещений,
специфичные для видеокарт особенности отрисовки при помощи WebGL, WebGPU и Canvas,
различия в реализации методов обработки звука в API AudioContex и распознавания речи через API SpeechSynthesis,
утечки локальных IP через WebRTC,
анализ состава и порядка перечисления расширений TLS,
особенности отрисовки Emoji,
определение раскладок клавиатуры,
наличие специализированных периферийных устройств и редких датчиков (геймпады, шлемы виртуальной реальности, сенсоры приближения),
различия в калибровке датчиков через API Generic Sensor,
определение Bluetooth-, USB- и HID-устройств через метод getDevices(),
особенности работы математических функций (например, Math.tan(-1e308)),
оценка цветовых схем и данных об обработке цвета через CSS-правило @supports,
привязка к производительности системы через API Performance,
определение установленных дополнений через перебор chrome-extension://[known-id]/[resource],
манипуляции с CSS,
анализ особенностей работы с мышью и клавиатурой.
Отмечается, что в Chrome почти нет встроенных механизмов защиты от скрытой идентификации, а ранее действующие инициативы по усилению конфиденциальности, такие как Privacy Sandbox и Privacy Budget, свёрнуты. Помимо общего описания действующих в Chrome методов скрытой идентификации, показано как можно блокировать их на уровне браузерного дополнения, используя скрипты обработки конента, отладочные возможности (chrome.debugger) и анализ сетевых запросов (chrome.webRequest). Также рассмотрены методы хранения идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies", например, кэш Favicon, база автозаполнения форм).

[сергей 999s]

Обновления Firefox 150.0.1 и Chrome 147.0.7727.137/138 с устранением критических уязвимостей

Доступен корректирующий выпуск Firefox 150.0.1, в котором устранено 28 уязвимостей (19 уязвимостей собрано под CVE-2026-7322, 4 под CVE-2026-7323 и 4 под CVE-2026-7324). Все уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. 19 уязвимостям присвоен критический уровень опасности, подразумевающий возможность исполнения кода атакующего с обходом sandbox-изоляции при открытии специально оформленной web-страницы.

Не связанные с безопасностью изменения в Firefox 150.0.1:

Решена проблема с некорректным отображением выпадающих меню (вместо выпадающего списка все элементы сразу показывались в раскрытом виде).
Исправлена ошибка, приводившая к некорректной загрузке Facebook и других сайтов на системах с установленным антивирусом Bitdefender.
Устранена проблема, приводившая к повторному выводу запроса предоставления доступа к данным о местоположении после отказа предоставить доступ.
Решена проблема, не позволявшая добавить вкладки в некоторых ранее сохранённые группы вкладок.
Устранена ошибка, приводившая к пропаданию рамок и контуров у некоторых элементов страниц после использования масштабирования щипком или умного масштабирования в macOS и Windows.

Компания Google сформировала обновление Chrome 147.0.7727.137/138 с исправлением 30 уязвимостей, из которых 4 помечены как критические. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что уязвимости вызваны обращениями к уже освобождённой памяти (Use-after-free) в Canvas (CVE-2026-7363), средствах для людей с ограниченными возможностями (CVE-2026-7344), компоненте формировании интерфейса Views (CVE-2026-7343) и коде, специфичном для платформы iOS (CVE-2026-7361).