Релиз Chrome 150

Компания Google опубликовала релиз web-браузера Chrome 150. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 151 запланирован на 28 июля.

Основные изменения в Chrome 150 (1, 2,
3, 4):

  • Предложены первые результаты инициативы по обновлению оформления интерфейса на разных операционных системах и его избавления от излишеств. Задействованы новые пиктограммы с более сглаженными границами и анимационные эффекты для кнопок, таких как кнопки открытия главного меню и перезагрузки страницы. Упрощена структура контекстных меню, из которых исключены редко используемые или дублирующиеся элементы. Задействовано более современное оформление конфигуратора, менеджера загрузок и страницы для навигации по закладкам.

  • Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. В новой версии добавлена возможность подключения Chrome к AI-агенту Gemini Spark для автономного выполнения действий в текущей активной вкладке в процессе решения поставленных задач, требующих взаимодействия с web-контентом (нажатие на кнопки, переход по ссылкам, заполнение форм и т.п.). Кроме того, добавлен вывод контекстных рекомендаций по задействованию Gemini при работе с браузером, например, при открытии большой статьи Chrome предложит резюмировать информацию при помощи Gemini, а при редактировании текста в форме порекомендует проверить или исправить текст через Gemini.

  • У части пользователей задействован единый упрощённый интерфейс для привязки к учётной записи в Google и синхронизации данных, таких как сохранённые пароли и закладки. Синхронизация интегрирована с входом в учётную запись и не преподносится как отдельная возможность в настройках. Пользователи могут подключить Chrome к учётной записи в Google и использовать её для хранения паролей, закладок, истории посещений и вкладок. Данные для автозаполнения адресов и автодополнения ввода теперь не синхронизируются между устройствами и хранятся только на локальной системе.
  • У части пользователей, активировавших режим расширенной защиты браузера (Enhanced Safe Browsing), включена функция «HTTPS-First», выполняющая автоматическое перенаправление HTTP-запросов на HTTPS. Для обеспечения работы с сайтами, не поддерживающими HTTPS, реализован откат на HTTP, если после перенаправления не удаётся выполнить запрос по HTTPS или возникают проблемы с сертификатами. При попытке открытия сайта по HTTP выводится специальное предупреждение. В Chrome 154 режим планируют включить по умолчанию для всех публично доступных сайтов, размещаемых не в интранет сетях, таких как 192.168.0.1 и 10.0.0.0/8.
  • Удалена поддержка флага kExtensionManifestV2Disabled, позволявшего вернуть возможность установки из каталога Chrome Web Store дополнений, использующих вторую версию манифеста Chrome. В следующем выпуске Chrome 151 будет удалён параметр AllowLegacyMV2Extensions, позволявший вручную в режиме разработчика загружать дополнения на базе второй версии манифеста. Отмеченные флаги позволяли обходным путём установить дополнение uBlock Origin.
  • Обработчики Web Worker, созданные с использованием URI «data:» (например, через «new Worker(‘data:text/javascript….’)», теперь изолируются от страницы, на которой были созданы, и не имеют доступа к локальным хранилищам и Cookie в контексте текущего домена. Изменение позволяет блокировать использование Web Worker-ов, не загруженных с сервера, а на лету созданных через «data:», для доступа к конфиденциальным данным в процессе XSS-атак.
  • Реализована защита от атак, манипулирующих ограничением на максимальное число соединений к прокси в качестве скрытого канала связи между JavaScript-кодом, выполняемым в разных вкладках, или для определения посещался ли определённый сайт ранее. Например, атакующий может занять все доступные соединения к прокси, оставив не занятым лишь один сокет, после чего анализировать его доступность при обращении к статичному ресурсу — если сокет не занят, ресурс с проверяемого сайта отдан из кэша, т.е. пользователь уже загружал его ранее. Лимит на максимальное число соединений к TCP-сокетам прокси теперь варьируется случайным образом.
  • Запрещено применение SVG-фильтров к чужим (cross-origin) или изолированным (sandboxed) iframe-блокам, а также к плагинам (например, встроенному PDF-просмотрщику). Ограничение позволяет защититься от атак по сторонним каналам, типа GPU.zip, и атак класса SVG Clickjacking, при которых SVG-фильтры используются для наложение прозрачного содержимого на другой контент с целью подстановки невидимой кнопки, например, поверх кнопки закрытия окна с рекламой.
  • Для обособленных web-приложений (PWA, Progressive Web App) предоставлена возможность переноса на новый поддомен в пределах одного базового домена (например, замены drive.example.com на fileman.example.com) без участия пользователя (ранее PWA-приложение привязывалось к исходному домену и в случае смены подомена, например, при ребрендинге или реструктуризации, ручная переустановка).
  • В TLS включена по умолчанию поддержка алгоритма формирования цифровой подписи ML-DSA (CRYSTALS-Dilithium), стойкого от подбора на квантовом компьютере.
  • В версии для Android реализована поддержка стандарта FIDO Alliance Credential Exchange, позволяющего импортировать и экспортировать сохранённые пароли и параметры биометрической идентификации с использованием сквозного шифрования на стороне клиента, например, для защищённого переноса между Google Password Manager и сторонними менеджерами паролей.
  • В версии для Android в конфигураторе предложен новый унифицированный интерфейс для управления сохраняемыми паролями и данными автозаполнения форм. Идея в том, чтобы пользователь разом мог получить информацию о разных классах сохраняемых браузером конфиденциальных данных, таких как пароли, данные биометрической аутентификации, адреса и паспортные данные.

  • Добавлено CSS-свойство «text-fit» для автоматического масштабирования размер шрифта, чтобы текст вписывался в ширину родительского контейнера (например, когда нужно разместить заголовок в заданной области без переноса хвоста на другую строку или адаптировать шрифт для разных разрешений экрана).
  • В CSS-свойствео»background-clip добавлена поддержка параметра «border-area«, упрощающего создание границ с градиентом, благодаря отрисовке фона элемента строго в зоне, которую занимает рамка.
  • Добавлена CSS-функция image(), позволяющая сгенерировать изображение с заливкой заданным цветом.
  • В режиме Origin trials началось тестирование протокола EVP (email verification protocol) для автоматического криптографического подтверждения владения email без необходимости отправки на почту одноразовых кодов подтверждения.
  • Добавлен HTML-атрибут focusgroup для декларативного управления переключением фокуса ввода с клавиатуры внутри составных компонентов, таких как меню, без использования JavaScript. Например, после выхода из группы элементов клавишей Tab и возвращения обратно, браузер вернёт фокус на последний активный элемент, а не на первый элемент в списке.
  • Внесены улучшения в инструменты для web-разработчиков. Добавлены возможности для инспектирования и отладки инструментария WebMCP, применяемого для интеграции сайтов с AI-агентами при помощи протокола MCP. В панели со стилями разрешено редактирование по месту
    правил «@container», «@counter-style» и «@function».


Кроме нововведений и исправления ошибок в новой версии устранено 433 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Двадцати проблемам присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. 14 критических проблем вызваны обращением к уже освобождённой памяти (use-after-free), 3 — недостаточной проверкой не заслуживающих доверия входных данных, 2 — переполнением буфера и 1 — неправильной обработкой типов (Type Confusion). В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 319 тысяч долларов США (одна премия в 250 тысяч долларов (CVE-2026-14382 в библиотеке ANGLE), три премии по $10000, $2500, $2000 и $1000, две премии $3000 и по одной премии $8000, $5000 и $4000.

Источник: http://www.opennet.ru/opennews/art.shtml?num=65814