IT之家4月30日消息,今日谷歌面向 Windows、Mac和 Linux平台推出了 Chrome136瀏覽器穩定版,此次更新將在未來幾周內逐步分發,涵蓋多項重要改進,其中最引人注目的變化是修復了一個存在超過20年的隱私漏洞。
自網絡瀏覽器誕生初期,瀏覽器便通過不同顏色區分已訪問連結和未訪問連結,以幫助用戶更便捷地上網。然而,這一功能卻隱藏了一個嚴重的隱私缺陷:網站可以通過利用瀏覽器(包括 Chrome)處理 CSS`:visited`選擇器的方式,檢測用戶是否訪問過其他網站上的特定連結。這種漏洞使得惡意網站能夠悄無聲息地探測用戶的瀏覽歷史。
隨著 Chrome136版本發布,谷歌從根本上改變了追蹤已訪問連結的方式。該瀏覽器現在採用「三重密鑰分區」系統,將連結的訪問狀態存儲在三個元素中:具體連結的 URL、頂級網站和框架來源。這意味著只有連結的原始網站能夠訪問其訪問狀態信息,從而徹底杜絕了跨站嗅探歷史記錄的可能性。用戶在同一個網站內的導航提示依然保留,但不再以犧牲隱私為代價。
IT之家注意到,除了隱私方面的重大突破,Chrome136還修復了其他八個安全漏洞,其中多個漏洞是由獨立研究人員發現的:
一個 HTML中的關鍵堆緩衝區溢出漏洞(CVE-2025-4096),發現者獲得5000美元獎勵。
兩個中等嚴重性問題出現在開發者工具中:越界記憶體訪問(CVE-2025-4050)和數據驗證不足(CVE-2025-4051),每個漏洞的發現者獲得2000美元獎勵。
一個低嚴重性漏洞(CVE-2025-4052),發現者獲得1000美元獎勵。
此外,許多其他修復來自谷歌內部的安全審計和先進的安全技術,包括 AddressSanitizer和 MemorySanitizer,進一步增強了平台的安全性。
Chrome136的擴展穩定版(v136.0.7103.48/49)也已針對企業用戶更新,使這些關鍵保護措施能夠更廣泛地應用於各類用戶群體。
谷歌強烈建議所有 Chrome用戶在 Chrome136逐步推出期間更新瀏覽器。
