Chrome 135 发布：强化隐私与安全保护

Chrome 135 正式发布！本次更新重点增强了安全性和隐私保护功能，同时带来了多项实用改进。

Chrome 135 版本摘要

• 发布版本号：
  • Windows：135.0.7049.41/.42
  • macOS：135.0.7049.41/.42
  • Linux：135.0.7049.52
• 发布日期：2025 年 4 月 1 日
• 系统兼容性：支持 Windows 11、10（32 位和 64 位）、Linux 和 macOS。

Chrome 135 主要更新

HTST 反追踪机制：阻断隐私泄露

一些网站会通过 HSTS（HTTP 严格传输安全协议）强制使用 HTTPS 安全连接，这通常借助了Strict-Transport-Security响应头来实现。然而，这个机制可能被滥用来追踪用户。主要原理有：

1. 任何主机名都可以声明 HSTS。
2. 攻击者可以通过加载多个子资源，基于这些链接生成独特标识符（例如，长二进制代码）来识别用户。
3. 当用户访问加载子资源的网站时，追踪者可以通过观察访问的是 HTTP 还是 HTTPS 来区分用户。

为了防止第三方利用该机制进行追踪，Chrome 135 新增了防护策略：通过「禁止 HSTS 升级子资源请求」，从根本上阻断了此类追踪行为。

其他更新内容

除了增强隐私功能，Chrome 135 还带来了一些其他值得关注的改进：

• AI 驱动的钓鱼网站检测：借助本地大型语言模型（LLM）分析网页安全信号，数据将反馈至「Google 安全浏览」系统。如果检测到威胁，浏览器会立即向用户发出警告。
• 智能表单识别升级：借助新的客户端机器学习技术，大幅提升了密码表单等网页元素的解析准确率。
• 扩展插件云端同步（测试阶段） ：支持将扩展程序保存至 Google 账号，目前仅部分用户能在安装新扩展时体验此功能。
• 「无痕模式」默认拦截第三方 Cookie：可以在「设置」>「隐私与安全」>「第三方 Cookie」中，开启「在无痕模式下阻止第三方 Cookie」。

Chrome 135 安全修复

Chrome 135 共修复了 14 个安全漏洞，以下是外部研究人员提交的重点修复项：

• 【高危】 CVE-2025-3066：修复了导航过程中的内存问题。
• 【中危】 CVE-2025-3067：修复了自定义标签的不当实现。
• 【中危】 CVE-2025-3068：解决了意图机制（Intents）的不当实现问题。
• 【中危】 CVE-2025-3069：修复了扩展程序中的代码问题。
• 【中危】 CVE-2025-3070：扩展程序现在能够正确验证不信任的输入。
• 【低危】 CVE-2025-3071：解决了导航机制中的不当实现问题。
• 【低危】 CVE-2025-3072：修复了自定义标签中的不当实现。
• 【低危】 CVE-2025-3073：解决了自动填充功能中的代码问题。
• 【低危】 CVE-2025-3074：修复了下载功能中的代码问题。

除了外部研究人员的贡献，Google 内部安全团队也进行了大量工作，通过内部审计、模糊测试（Fuzzing）及其他安全措施，修复了多个潜在问题。