2025-04-30 18:20:58 作者：

近日，谷歌面向 Windows、Mac 和 Linux 系统发布了 Chrome 浏览器最新稳定版 136，此次更新将在接下来的几周内逐步推送。新版本带来了多项功能改进和安全修复，其中最值得关注的是对一个存在超过二十年的隐私漏洞进行了修补。

早在浏览器发展初期，为了帮助用户更方便地区分已访问和未访问链接，浏览器通常会以不同颜色进行标识。然而，这一设计存在潜在隐私风险：网站可以借助 CSS 的 `:visited` 选择器判断用户是否访问过某些链接，从而间接获取用户的浏览历史。这种机制可能被恶意网站利用，造成用户隐私泄露。

Chrome 136 对链接访问状态的记录方式进行了重大调整。新引入的“三重密钥分区”机制将链接访问状态信息存储在三个维度中：链接的具体 URL、顶级域名和框架来源。这意味着只有发布该链接的原始网站才能查看其访问状态，有效防止了跨站跟踪浏览历史的行为。对于用户而言，站点内部的导航提示仍然可用，但不再影响整体隐私安全。

除了上述隐私防护升级，本次更新还修复了共计八个安全问题。其中，一个出现在 HTML 模块中的高危堆缓冲区溢出漏洞（CVE-2025-4096）由外部研究人员发现，并因此获得 5000 美元奖金。此外，还有两个中等严重性漏洞分别涉及开发者工具中的越界内存访问（CVE-2025-4050）和数据验证不足（CVE-2025-4051），其发现者各获得 2000 美元奖励。另一个低严重性漏洞（CVE-2025-4052）的上报人员则获得了 1000 美元奖金。

其他的修复主要得益于谷歌持续推动的安全审计工作，以及 AddressSanitizer、MemorySanitizer 等安全技术的使用，进一步提升了浏览器的整体安全性。

与此同时，扩展稳定版 Chrome 136（版本号 v136.0.7103.48/49）也已面向企业用户推出，让各类组织能够更快地部署最新的安全防护措施。

鉴于此版本的重要性，谷歌建议所有用户尽量在更新推送期间第一时间完成升级，以保障设备与数据的安全。