گوگل کروم ۱۴۸ منتشر شد؛ از اجرای محلی هوش مصنوعی تا رفع ۱۲۷ آسیب‌پذیری امنیتی

گوگل سرانجام نسخه‌ی ۱۴۸ مرورگر کروم را برای کاربران ویندوز، مک و لینوکس منتشر کرد. این به‌روزرسانی بر خلاف انتظار کاربران عادی، تغییرات بصری گسترده‌ای ندارد و تمرکز اصلی آن بر زیرساخت‌های فنی و ابزارهای توسعه‌دهندگان استوار است.

مهم‌ترین ویژگی نسخه‌ی جدید کروم، معرفی Prompt API است. این قابلیت به توسعه‌دهندگان اجازه می‌دهد تا مدل هوش مصنوعی جمنای نانو را به‌صورت محلی (بی‌نیاز از اینترنت) روی دستگاه کاربر اجرا کنند.

به‌لطف سازوکار محلی، پردازش داده‌ها در محیط مرورگر انجام می‌شود و نیازی به ارسال اطلاعات به سرور یا استفاده از کلید API نیست. این موضوع باعث بهبود حفظ حریم خصوصی و کاهش تأخیر در پاسخ‌دهی می‌شود.

توسعه‌دهندگان می‌توانند از این قابلیت برای مواردی مانند توصیف تصاویر، تبدیل گفتار به متن به‌صورت آفلاین و دسته‌بندی محتوا استفاده کنند.

کروم ۱۴۸ اکنون از ویژگی «لیزی لودینگ» برای ویدیو و صدا پشتیبانی می‌کند. این قابلیت، مشابه روش بارگذاری تصاویر در نسخه‌های قدیمی‌تر عمل می‌کند.

در این حالت، مرورگر بارگذاری فایل‌های صوتی و تصویری را تا زمانی که کاربر به آن‌ها نزدیک نشود، به تعویق می‌اندازد. نتیجه‌ی این تغییر، افزایش سرعت بازشدن صفحات سنگین وب است.

گوگل برای مقابله با حملات هوموگراف، قوانین جدیدی را برای تحلیل URL-ها اعمال کرد. این نسخه کاراکترهای نامرئی مانند ZWNJ و ZWJ را در اکثر بخش‌های آدرس وب مسدود می‌کند.

کاراکترهای یادشده می‌توانند آدرس‌هایی بسازند که از نظر بصری با سایت‌های اصلی (مانند PayPal) یکسان هستند اما به سرورهای جعلی هدایت می‌شوند. این تغییر امنیتی به‌صورت خودکار فعال است و نیازی به تنظیمات ندارد.

برخلاف انتظار کاربران، قابلیت تب‌های عمودی (Vertical Tabs) همچنان در حالت آزمایشی قرار دارد و برای استفاده از آن باید از بخش chrome://flags اقدام کرد.

همچنین پنل پروژه‌ها (Projects Panel) تنها در نسخه‌ی ‌Canary در دسترس است و هنوز به نسخه‌ی پایدار راه نیافته. گوگل اعلام کرده که جزئیات کامل وصله‌های امنیتی این نسخه را به‌زودی منتشر می‌کند.

این به‌روزرسانی شامل ۱۲۷ اصلاحیه‌ی امنیتی است و با هدف مسدودکردن مسیر نفوذ مهاجمان به سیستم کاربران منتشر شده. در میان این موارد، سه آسیب‌پذیری بحرانی شناسایی شده‌اند که هر یک می‌توانند امنیت داده‌های کاربر را به‌شدت به خطر بیندازند.

یکی از خطرناک‌ترین حفره‌ها با شناسه‌ی CVE-2026-7896 در موتور بلینک یافت شد. این نقص از نوع سرریز عدد صحیح (Integer Overflow) است و به مهاجمان اجازه می‌دهد از طریق یک صفحه‌ی HTML، حافظه‌ی سیستم را دچار اختلال کنند. گوگل زمستان سال گذشته برای کشف این آسیب‌پذیری مبلغ ۴۳ هزار دلار پاداش به یک پژوهشگر پرداخت کرد.

دو نقص بحرانی دیگر با شناسه‌های CVE-2026-7897 و CVE-2026-7898 توسط تیم داخلی گوگل کشف شدند که هر دو از نوع UAF هستند.

علاوه بر موارد بحرانی، بیش از ۳۰ آسیب‌پذیری سطح بالا نیز در این نسخه اصلاح شدند. این نقص‌ها بخش‌های مختلفی از جمله V8 و GPU و WebRTC را تحت تاثیر قرار داده بودند.

بیشترین مبلغ پاداش در این به‌روزرسانی، ۵۵ هزار دلار بود که به پروژه‌ی WhatForLunch پرداخت شد.

بیش از ۶۰ مورد از نقص‌های برطرف‌شده در این نسخه، دارای شدت متوسط و مابقی آن‌ها در سطح پایین هستند. این موارد شامل مشکلاتی نظیر عدم اعتبارسنجی ورودی‌ها در بخش Media و خطاهای پیاده‌سازی در ServiceWorker است.

گوگل اعلام کرد که مجموعاً ۱۳۸ هزار دلار پاداش به پژوهشگران خارجی پرداخت کرده است. با این حال، احتمال دارد مبلغ نهایی بیشتر باشد، زیرا شرکت هنوز تمام مبالغ پرداختی برای تمامی موارد اصلاح‌شده را فاش نکرده است.