Веб-браузер Google Chrome 45 вышел в релиз

    Google выпустила новую версию веб-браузера Chrome 45, для которого было исправлено 29 различных security-уязвимостей. Ряд исправленных уязвимостей относится к типу Cross-origin bypass и use-after-free в различных компонентах веб-браузера. С использованием этих уязвимостей атакующий может удаленно исполнить код через специальным образом сформированную веб-страницу.



    Скачать новую версию веб-браузера для различных платформ можно по этой ссылке. В случае уже установленного Chrome, он должен обновиться автоматически, либо для этого следует зайти в меню «О браузере Google Chrome». Для современных 64-битных версий Windows мы рекомендуем использовать «родную» 64-битную версию веб-браузера.

    Обратите внимание, что, по умолчанию, на стартовой странице загрузки, вы скачиваете 32-битную версию, для загрузки 64-битной версии следует выбрать пункт «Скачать Chrome для другой платформы».

    Для того, чтобы проверить, какая версия веб-браузера у вас установлена следует зайти в меню «О браузере Google Chrome».


    Рис. Разрядность версии веб-браузера в свойствах.

    Мы настоятельно рекомендуем веб-браузер Google Chrome для использования (Windows). На сегодняшний день он является одним из наиболее безопасных веб-браузеров, который также значительно менее чувствителен к эксплуатации различных уязвимостей как в самом веб-браузере, так и его плагинах, работающих в изолированной среде.
    Метки:
    ESET NOD32 76,52
    Компания
    Поделиться публикацией
    Комментарии 42
    • –14
      Настоятельно рекомендую не устанавливать и не использовать Google Chrome для таких сайтов как egov.kz (Электронное правительство Республики Казахстан) использующих NPAPI-плагины, в частности Java-плагин.

      45-й версий нет даже возможности включить такие плагины.

      Ибо корпорация Google решила что она может указывать пользователем что им нужно, а что нет. И это и есть путь зла, окукливания, падения и потери доли и прибыли.
      • –1
        Для любого браузера найдутся сайты, которые его не поддерживают. Если используете винду, то родной ИЕ никуда не делся и для исключений можно использовать его. А для постоянной работы — то, что более удобно и надежно.
        • +6
          ужс-ужс что деется-то прогресс отаке спасайся

          Если людям не охота тратить силы на поддержание совместимости со стандартами каменного века, то они склонны забивать на эти самые стандарты. Такое уже бывало, помнится один магазин отказался от вёрстки под старые браузеры, потому что очень дорого и геморно, и отбивать этот процесс можно только повышая цены, ибо у магазина деньги берутся только с продаж. Выбор: накинуть копеечку на каждый товар, чтобы ретрограды могли спокойно сидеть в своём шестом ослике, или забить на ретроградов. Работа с этими устаревшими морально стандартами требует и бабла и времени и людей. И навязывать людям делать неитересную неблагодарную скучную и сложную работу ради ничего — это и есть «путь зла, окукливания, падения и потери доли и прибыли».

          Так-то.
          • +3
            прогресс отаке спасайся


            Я всеми руками за прогресс, но сегодня отрубился java plugin и моё подключение к клиентскому VPN, которое через этот плагин поднималось кануло в небытие… Придется искать обходной вариант.
            • +6
              Причем тут «ретрограды» и «неохота тратить силы»?!

              Давайте оценивать «нововведения» с пользовательской точки зрения, а не с программерской.
              Вот я являюсь клиентом крупного банка (счет там как у ИП) и их интернет-банк, кстати по многим отзывам один из лучших, использует NPAPI.
              И без него просто отвалится. И что? Мне предложить банку повысить комиссию за обслуживание счета?!
              Чтобы они дали эти деньги своим разрабам, которым «неохота тратить силы»?

              Феерическую чушь написали.
              • 0
                Дело не в прогрессе. Дело в том, что NPAPI, по мнению разработчиков Хрома — дыра в безопасности. Плюс большинству пользователей NPAPI не нужен, поскольку все, кто хотел уже перевели свои решения на html5. Благо Google предупредил всех за 3 года.

                Oracle c Java апплетами тут не исключение. Время у них было, но вместо того, чтобы перевести апплеты на новое API они просто рекомендуют своим пользователям сменить Хром на что-нибудь другое. Чем провоцируют уходить от использования джава апплетов всех, кто вообще может это сделать.
            • –1
              А может Flash и Java-плагины истинное зло?
              • +3
                Вот мне каждый раз, как я вижу, что Java-плагин называют злом, хочется спросить: а как вы предлагаете использовать ЭЦП на сайте?
                • 0
                  CryptoPro browser plugin?
                  • 0
                    Отдельный плагин с кастомным интерфейсом под каждого криптопровайдера.
                    В принципе это действительно выходе, если вы готовы ограничить себя только CryptoPro, что не верно для любой компании, пытающейся разрабатывать онлайн банкинг с прицелом на несколько банков.
                    • 0
                      Криптопровайдер можно использовать любой.
                      Мы на текущем проекте пошли именно таким путем.
                    • +3
                      По-вашему CryptoPro browser plugin — это не NPAPI? Насколько я знаю, PAPI версия ещё только в разработке. И просить рядового пользователя установить нынешнюю бету язык не поворачивается, пока проще просить установить FireFox, в котором тоже скоро отключат старые плагины.
                      • 0
                        Имел в виду именно ppapi версию.
                        На данный момент в хроме 45+ это работающее решение, возможно единственное, не уверен. И очень хорошо, что кто-то занимается разработкой и поддержкой таких решений. Иначе, до сих пор сидели бы с Capicom'ом в IE, если нужна ЭЦП в браузере.
                        • 0
                          Все другие решения, которые мы смотрели были на NPAPI, и, к сожалению, не слышал новостей о разработке PAPI вариантов. Судя по всему Cadescom — единственная надежда сейчас, очень надеюсь, что у них — таки получится сделать удобную установку.
                    • 0
                      Да, мы такую проблему на ура решили через com-объект и ActiveX.
                    • –3
                      А прикреплять к браузеру стороннего монстрика это нормально? Почему большинство крупных веб-сервисов замечательно обходятся без этих «велосипедов»? YouTube, Google Docs, VK, OK, Mail.ru, FaceBook и т.д. Почему этот ЭЦП всенепременно должен работать именно в браузере? Почему нельзя сначала подписать все эти документы, а затем спокойно их отправлять/загружать?
                      • +5
                        Почему этот ЭЦП всенепременно должен работать именно в браузере? Почему нельзя сначала подписать все эти документы, а затем спокойно их отправлять/загружать?

                        YouTube
                        Почему он сам жмет видео? Почему нельзя сначала сконвертировать видео в целевой формат, а затем спокойно их отправлять/загружать?
                        Google Docs
                        Почему редактирование документов всенепременно должно работать именно в браузере? Почему нельзя сначала отредактировать все эти документы, а затем спокойно их отправлять/загружать?
                        Mail.ru
                        Почему написание писем всенепременно должно работать именно в браузере? Почему нельзя сначала написать все эти письма, а затем спокойно их отправлять/загружать?

                        • +1
                          ИМХО правильные вопросы. Кроме, может быть, ютуба, которому лучше знать в каком формате хранить видео.
                      • 0
                        Есть «иная школа». Они считают, что «истинный путь» таков: IE 6 only, ActiveX + непонятная мурня в систему. На фоне этого Java кажется раем.
                        • –4
                          • –2
                            Хотел написать длинное сообщение, которое раскладывало все по полочкам, но потом решил не тратить свое время, ибо никакого результата я все равно не добьюсь.
                            Единственное, что могу сделать – это дать ссылки сюда и сюда.
                            • 0
                              Хотел написать длинное сообщение

                              Не утруждайтесь, мы явно не достойны.

                              Единственное, что могу сделать – это дать ссылки сюда и сюда.

                              Web Cryptography API
                              W3C Candidate Recommendation
                              Хром уже имплементировал? Нет? Тогда к чему тут вообще эта ссылка?
                              Вторая ссылка ничего нового к статье не добавляет.
                              • 0
                                Хром уже имплементировал? Нет? Тогда к чему тут вообще эта ссылка?

                                Возможно, по какой-то причине, Google Вам не доступен, и давать ссылку сюда не имеет никакого смысла. Тогда дам прямую.
                                • 0
                                  Вы наверное сейчас кажетесь себе таким умным.

                                  А теперь поищите поддержку вот этого: WebCrypto Key Discovery. Внезапно ее нет. Более того весь Web Cryptography API без нее бесполезен для ЭЦП.

                                  Без поддержки хотя бы PKCS#11 это бесполезная игрушка.
                                  • 0
                                    Вы наверное сейчас кажетесь себе таким умным.

                                    Возможно в современной действительности это отрицательное качество, но нет — не кажусь.
                                    А теперь поищите поддержку вот этого: WebCrypto Key Discovery. Внезапно ее нет. Более того весь Web Cryptography API без нее бесполезен для ЭЦП.

                                    В текущий момент — да, соглашусь. Но, как и с поддержкой html5, в ближайшее время, думаю, что поддержка будет реализована во всех браузерах.
                                    • +1
                                      в ближайшее время

                                      Первые упоминания проблем с WebCrypto Key Discovery датируются 2013 годом.
                                      Первые обсуждения не полноценности Web Cryptography API в мейлгруппе хрома, что я нашел — 2014 год.

                                      Сейчас Java — лучший и почти единственный способ работы с ЭЦП. Кроме нее только CryptoPro плагин, стабильная версия которого тоже только на NPAPI.

                                      Они отрубили единственный вменяемый способ работы с ЭЦП.

                                      Так к чему были ваши полные сарказма комментарии про ActiveX и com, с предложениями погуглить и высокомерным «не тратить свое время»? Сейчас есть способ лучше? Нет!

                                      Про «ближайшее время»: вспомните сколько внедряли видео. Которое гораздо более востребовано.

                                      Как только появится поддержка криптографии в браузерах я буду в первых рядах агитаторов отказа от лишних плагинов. Но это не наш случай.
                                      • 0
                                        Так к чему были ваши полные сарказма комментарии про ActiveX и com, с предложениями погуглить и высокомерным «не тратить свое время»?

                                        Я уже объяснил здесь.
                                        Потом смотрим сюда.
                                        Дальнейший диалог (если только выводы до сих пор непонятны) считаю бессмысленным.
                                        • –1
                                          а пояснения почему мы так делали и делаем ли мы так сейчас

                                          И как же мифические «вы» сейчас делаете? Используете несуществующие API браузера?
                                      • +1
                                        Реализована она может быть будет когда-нибудь, а поддержка того варианта, который работает сейчас — уже отключена.
                                  • 0
                                    Не утруждайтесь, мы явно не достойны.

                                    Да, и просто поясню, что фразой «раскладывало все по полочкам» я имел в виду ни сравнение Java и ActiveX, а пояснения почему мы так делали и делаем ли мы так сейчас. Но потом решил, что в текущей ситуации это глупо.
                          • 0
                            Microsoft Silverlight тоже работать не будет.
                            • +1
                              Без Java не работает, например, популярный сайт www.pingtest.net, а www.speedtest.net не работает без Flash. Вопрос на засыпку почему эти сайты, впрочем как и ещё огромное количество других, используют эти плагины? Вот я понимаю, что проблема в том, что «не злые» технологии, вроде HTML5+JS+CSS умеют далеко не всё, что нужно, правильно ведь понимаю? Получается, что разработчики Chrome взяли и просто так лишили своих пользователей возможности использовать Java, ах да, а ещё есть злая Unity, которая теперь тоже под Chrome больше не работает.

                              P.S. Вовремя я из-за жора памяти пересел с Chrome на Firefox, произошло это ещё осенью 2014, а сейчас вот думаю, что пора и родителей пересадить ибо мониторы у всех широкоформатные, а боковые вкладки (tree-style-tabs) в Firefox рулят! Просто делюсь собственным опытом.
                            • –3
                              Дорогой toxicdream к глубокому моему сожалению. Сайт EGOV.KZ не отвечает современным стандартам Веба.
                              Конечно многие приложения которое пишутся для enterpise пишутся совместно с JAVA аплетами. А Java апллеты это на самом деле очень старая технология. Тут в первую очередь Виноваты Заказчики со стороны РК которым было без разницы, пускай пользователи запариваються что джава ставится или не ставится. Некоторые Java аплеты при сдаче налоговой декларации тоже глючные.

                              Вы называете Корпорацию Гугл- Корпорацией Зла, Хотя на самом деле не знаете всей подоплеки. Не хочу сказать что дело в отмыве. Просто на гос уровне и такое не исключено !!! На бумаге многое есть, по факту нет…
                            • +10
                              Просто дайте пользователю выбор. Скрытый, неявный, правкой конфига или хитрой галочкой глубоко в настройках. Кому надо — тот сам себе включит. И всё. Вот принцип don't be evil в действии. Но нет.
                              Dixi.
                              • 0
                                Какая то неоднозначная ситуация насчет NPAPI в хроме. Некоторые говорят зло. Некоторые говорят добро.
                                Как думаете может голосовалку сделать, На этот счет ??

                                Если Будет хабра эффект то можно будет подать петицию.
                                Хотя действительно получается что Гугл отварачивается от Ентерпрайза, блокируя наглухо и джаву и некоторые плюшки.
                                • +3
                                  Мне интересно, а как банк-клиенты реализованы у банков европейских стран или в США?
                                  У них нет подобных проблем с совместимостью? Если есть пользователи оных — просветите.
                                  • +2
                                    Спец ПО для всех видов ОС. Работает, что удивительно…
                                    • +1
                                      В английском HSBC используют такой девайс для одноразовых паролей:
                                      image
                                      Вводите там свой пин и получаете одноразовый код для входа в онлайн банкинг.

                                      Чтобы перечислить деньги кому-то нужно на этом девайсе ввести пин код и номер счета куда уходят деньги, затем в онлайн банкинге ввести код.

                                      Когда пользовался Barclays там было что-то похожее, но надо было ещё свою карточку вставлять в девайс:
                                      image
                                    • 0
                                      Ну вот, опять chrome с selinux не поделили песочницу.

                                      Как минимум на RHEL7 запустить удается или с флагом --no-sandbox, или с ковырянием в политиках SELinux.
                                      • 0
                                        Господа, все это здорово, но скажите как скачать х64 версию, ибо «Скачать Chrome для другой платформы» -> x64 версия — Скачать = качает стандартный установщик. И тот соответственно ставит х32 версию.
                                        • 0
                                          Скачать Chrome для другой платформы -> Windows 10/8/7 64-bit -> Принять условия и установить -> скачалась версия x64. По сравнению с установщиком по кнопке «Скачать», они немного разные, несколько десятков байт отличаются.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое