Linux 最新资讯 20260408——Chrome 147 稳定版发布,新增限制与网页打印 API;的二号人物转向新型模糊测试工具以发现内核漏洞

谷歌于周二向所有Windows、macOS和Linux用户发布了Chrome 147稳定版。此次常规Chrome稳定版更新包含多项优化改进，同时修复了各类问题并新增了开发者功能。

Chrome 147加强了一系列本地网络访问（LNA）限制。由于本地WebSocket连接易受多种攻击，访问本地地址的WebSocket连接将触发权限提示。为降低网站通过此类请求对用户本地网络进行指纹识别的可能性，Chrome 147还对用户本地网络的WebTransport使用实施了LNA限制。基于早期对Service Worker的限制，Chrome 147还通过WindowClient.navigate()调用对Service Worker施加了LNA限制。

在新功能方面，Chrome 147推出了Web打印API，可将打印机相关功能与隔离网络应用进行深度集成。面向开发者的Chrome 147现已支持CSS边框形状、CSS对比色函数等CSS更新，同时新增JavaScript功能、WebXR图层及WebXR平面检测特性。

Chrome 147以开发者试用形式推出了音视频元素懒加载支持。当音视频元素接近视口时，HTML音频和视频元素将实现懒加载，此举延续了图片和iframe标签的懒加载行为模式，有助于提升页面加载速度。

Chrome 147还将WebNN从开发者试用升级为源试用阶段。WebNN旨在利用原生操作系统服务进行机器学习，并借助底层硬件加速技术，为网络环境提供更强大的机器学习体验。

更多关于Chrome 147稳定版的详细信息可通过Chrome发布博客获取，功能特性说明可查阅ChromeStatus.com网站。

除了今日发布的Flatpak 1.16.4版本提供了新的安全修复（包括沙箱逃逸漏洞修复及删除宿主文件功能的安全更新）之外，XDG-Desktop-Portal 1.20.4版本也同步发布，其包含的另一项安全修复可防止沙箱化应用程序任意删除宿主文件。

XDG Desktop Portal是Flatpak及桌面容器框架的门户前端服务。遗憾的是，该组件同样需要通过新版点状发布来修复一个未解决的安全问题。

本次修复的安全问题旨在防止沙箱化应用程序通过XDG Desktop Portal任意删除宿主文件。由于XDG Desktop Portal处理文件删除机制的特殊性，此前一直依赖GLib的g_file_trash函数通过路径执行删除操作。恶意应用程序可能利用路径竞争漏洞，在路径中插入符号链接来重定向GLib的g_file_trash函数，进而删除宿主系统上的任意文件。

最新发布的XDG-Desktop-Portal 1.20.4版本现已改为基于文件描述符的操作机制，能够更安全地删除目标文件，彻底杜绝了因符号链接竞争导致宿主系统文件被误删的可能性。

目前通过GitHub发布的XDG-Desktop-Portal 1.20.4版本仅包含上述变更说明。

Flatpak应用沙盒与分发系统今日发布重要安全更新。

Flatpak 1.16.4版本首要修复了CVE-2026-34078漏洞，该安全问题允许完全突破沙盒限制，导致攻击者能够访问宿主机文件并在宿主机环境中执行代码。

该漏洞源于Flatpak门户在沙盒暴露选项中接受应用可控的符号链接路径，这些链接可指向任意路径。因此应用程序可能访问所有宿主机文件，并可作为在宿主机环境中获取代码执行权限的原始攻击途径。禁用Flatpak门户是另一种临时解决方案，但可能导致应用程序运行异常。

本次更新同时修复了CVE-2026-34079漏洞，该漏洞用于防止宿主机文件系统上的任意文件删除。CVE-2026-34079源于ld.so的缓存机制在删除过期缓存文件时，未验证应用控制的过期缓存路径是否位于缓存目录内。

GHSA-2fxp-43j9-pwvc是另一个已修复的安全问题，用于防止在系统助手上下文中对文件的任意读取访问。最后还修复了跨用户拉取操作可能产生孤立进程的问题。

Flatpak 1.16.4版本可通过GitHub下载并获取更多更新详情。更新提示：与Flatpak相关的XDG-Desktop-Portal 1.20.4版本已发布，该版本可防止应用程序随意破坏宿主机文件。

Linux稳定内核的主要维护者Greg Kroah-Hartman——通常被视为Linux内核开发的第二负责人——现已启用名为"gregkh_clanker_t1000"的新型模糊测试工具，以协助发现新的内核漏洞。

昨日Linux内核邮件列表中引起我关注的是一组以这段话开头的补丁系列： 

"我花费时间运用新型模糊测试工具对ksmbd和smb代码进行测试，纯粹是因为这套代码易于在本地虚拟机环境中配置和验证。在此过程中，当面对'非可信'客户端时，可能发现了一些细微问题。" 

这位Linux基金会研究员正在探索适用于Linux内核的新型模糊测试工具，他近期还在GitHub上尝试了多项AI/LLM项目。

除了这些针对SMB/KSMBD的初始补丁外，过去48小时内Greg KH还陆续提交了涉及USB、HID、F2FS、LoongArch、WiFi、LED等多个内核模块的补丁。

过去两天中，这些补丁已通过Greg KH的gregkh.Git/clanker Git分支持续积累。"Clanker"分支中的所有补丁均在Git标签中标注： 

"辅助工具：gregkh_clanker_t1000" 

截至目前，这款gregkh_clanker_t1000工具似乎已发现大量内核缺陷。我尚未找到关于这个新工具的任何代码库或源代码。

据悉，"Clanker"是对人工智能、机器人与自动化技术的贬义俚语称谓，而"T1000"很可能源自《终结者》系列中的T-1000型机器人。