1 час назад
Вышел Chrome 150

Состоялся релиз браузера Google Chrome 150 для Windows, Linux и macOS. В этой версии добавлены новые опции, исправлены ранее обнаруженные ошибки, а также устранены 433 уязвимости (20 уязвимостей отмечены как критические, а 57 - как опасные). Выпуск Chrome 151 запланирован на конец июля 2026 года.

По информации OpenNET, основные изменения и дополнения в Chrome 150:
удалена сопровождение флага kExtensionManifestV2Disabled, позволявшего вернуть функция установки из каталога Chrome Web Store дополнений, использующих вторую версию манифеста Chrome. В следующем выпуске Chrome 151 будет удалён параметр AllowLegacyMV2Extensions, позволявший вручную в режиме разработчика скачивать дополнения на базе следующий версии манифеста. Отмеченные флаги позволяли обходным путём установить дополнение uBlock Origin. Ранее профильные эксперты сообщили, что Google хочет выключить вообще все блокировщики реклам в браузере Chrome с версии 150. Так в Google решили бороться с Adblock‑расширениями (uBlock Origin и другие) и начать переход на новый ядро с отказом от стандарта Manifest V2. Стандартный Google Chrome прекращает поддержку распространения расширений MV2 после версии 149;
у части пользователей задействован единый упрощённый интерфейс для привязки к учётной записи в Google и синхронизации данных, таких как сохранённые пароли и закладки. Синхронизация интегрирована с входом в учётную запись и не преподносится как отдельная возможность в настройках. Пользователи могут подключить Chrome к учётной записи в Google и использовать её для хранения паролей, закладок, истории посещений и вкладок. Данные для автозаполнения адресов и автодополнения ввода теперь не синхронизируются между устройствами и хранятся только на локальной системе;
у части пользователей, активировавших режим расширенной защиты браузера (Enhanced Safe Browsing), включена опция "HTTPS-First", выполняющая автоматическое перенаправление HTTP-запросов на HTTPS. Для обеспечения работы с сайтами, не поддерживающими HTTPS, реализован откат на HTTP, если после перенаправления не удаётся выполнить запрос по HTTPS или возникают проблемы с сертификатами. При попытке открытия сайта по HTTP выводится специальное предупреждение. В Chrome 154 режим планируют активировать по умолчанию для всех публично доступных сайтов, размещаемых не в интранет сетях, таких как 192.168.0.1 и 10.0.0.0/8;
обработчики Web Worker, созданные с использованием URI "data:" (в частности, через "new Worker('data:text/javascript....')", теперь изолируются от страницы, на которой были созданы, и не имеют доступа к локальным хранилищам и Cookie в контексте текущего домена. Изменение позволяет блокировать использование Web Worker-ов, не загруженных с сервера, а на лету созданных через "data:", для доступа к конфиденциальным данным в процессе XSS-атак;
реализована защита от атак, манипулирующих ограничением на максимальное число соединений к прокси в качестве скрытого канала связи между JavaScript-кодом, выполняемым в разных вкладках, или для определения посещался ли определённый веб-сайт ранее. В частности, атакующий может занять все доступные соединения к прокси, оставив не занятым лишь один сокет, после чего анализировать его доступность при обращении к статичному ресурсу - если сокет не занят, ресурс с проверяемого сайта отдан из кэша, т.е. потребитель уже загружал его ранее. Лимит на максимальное число соединений к TCP-сокетам прокси теперь варьируется случайным образом;
запрещено применение SVG-фильтров к чужим (cross-origin) или изолированным (sandboxed) iframe-блокам, а равным образом к плагинам (в частности, встроенному PDF-просмотрщику). Ограничение позволяет защититься от атак по сторонним каналам, типа GPU.zip, и атак класса SVG Clickjacking, при которых SVG-фильтры используются для наложение прозрачного содержимого на другой контент для подстановки невидимой кнопки, например, поверх кнопки закрытия окна с рекламой;
для обособленных web-приложений (PWA, Progressive Web App) предоставлена возможность переноса на свежий поддомен в пределах одного базового домена (в частности, замены drive.example.com на fileman.example.com) без участия пользователя (ранее PWA-приложение привязывалось к исходному домену и в случае смены подомена, например, при ребрендинге или реструктуризации, ручная переустановка);
в TLS включена по умолчанию сопровождение алгоритма формирования цифровой подписи ML-DSA (CRYSTALS-Dilithium), стойкого от подбора на квантовом компьютере;
в версии для Android реализована сопровождение стандарта FIDO Alliance Credential Exchange, позволяющего импортировать и экспортировать сохранённые пароли и параметры биометрической идентификации с использованием сквозного шифрования на стороне клиента, в частности, для защищённого переноса между Google Password Manager и сторонними менеджерами паролей;
внесены улучшения в инструменты для веб-разработчиков. Добавлены возможности для инспектирования и отладки инструментария WebMCP, применяемого для интеграции сайтов с AI-агентами при помощи протокола MCP. В панели со стилями разрешено редактирование по месту правил "@container", "@counter-style" и "@function".
С сентября 2026 года Google Chrome перейдёт на двухнедельный цикл выпуска обновлений вместо нынешнего четырёхнедельного. В команде Google сообщили, что организация ускоряет цикл выпуска основных обновлений Chrome с четырёх недель до двух, начиная с версии 153, которая выйдет 8 сентября 2026 года.

«Наша цель — обеспечить разработчикам и пользователям немедленный доступ к последним улучшениям производительности, исправлениям и новым возможностям. Опираясь на наш опыт адаптации процесса выпуска к требованиям современного веба, Chrome переходит на двухнедельный цикл выпуска», — заявили в Google.
Читают сейчас
26 минут назад
Альтернатива ГПУ для ЦОД. На «Иннопром» привезли турбину АЛ-41СТ-25
На промышленном форуме «Иннопром-2026» в Екатеринбурге Объединенная двигателестроительная корпорация (ОДК) показала свежий индустриальный газотурбинный двигатель АЛ-41СТ-25. Его разработало ОКБ им. Лю

37 минут назад
ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — Cisco подтвердила активную эксплуатацию SSRF-уязвимости в Unified CM, вредоносный софт обходит защиту с помощью легитимных инструментов ScreenConnect, уязвимость в Oracle E-Business
53 минуты назад
Тест боем: Innostage включает продукты Avanpost в программу открытых кибериспытаний
Компания Innostage, первый российский ИБ-интегратор, вышедший на открытые кибериспытания, и компания Avanpost, вендор в области безопасности идентификационных данных, объявляют о новом этапе стратегич

1 час назад
Евгений Рошал: WinRAR работает бесконечно, только изредка напоминая о том, что лицензию хорошо бы оплатить
Создатель архиватора WinRAR (Roshal ARchive) Евгений Рошал в интервью изданию РБК рассказал историю дизайна иконки проекта и открыл, почему архиватор WinRAR более 30 лет работает по модели добровольно

1 час назад
ИИ добрался до шампуней и печенья: как L'Oreal и Mondelez придумывают новые рецепты
Французский косметический гигант L'Oreal с помощью ИИ нашел в своих средствах для ухода за кожей молекулы, которые можно переиспользовать в шампунях, и теперь создает новые продукты в четыре раза быст