Google het weergawe 142 van die Chrome-webblaaier vrygestel. 'n Stabiele weergawe van die oopbron Chromium-projek, die fondament van Chrome, is ook beskikbaar. Chrome verskil van Chromium in sy gebruik van Google-logo's, 'n ongelukkennisgewingstelsel, modules vir die speel van kopieerbeskermde video-inhoud (DRM), outomatiese opdateringsinstallasie, altyd-aan-sandbox-isolasie, voorsiening van Google API-sleutels en die deurgee van RLZ-parameters tydens soektog. Vir diegene wat meer tyd benodig om op te dateer, word 'n aparte Uitgebreide Stabiele tak vir agt weke in stand gehou. Die volgende weergawe, Chrome 143, is geskeduleer vir 2 Desember.
Sleutelveranderinge in Chrome 142:
- Beskerming teen toegang tot die plaaslike stelsel wanneer daar met publieke webwerwe interaksie is, is geaktiveer. Wanneer 'n webwerf op 'n publieke of interne netwerk (intranet) besoek word, My IP adres Die blaaier sal 'n dialoogkassie aan die gebruiker vertoon wat bevestiging vir die bewerking versoek wanneer toegang tot die plaaslike stelsel of teruglus-koppelvlak (127.0.0.0/8) verkry word. Pogings om hulpbronne af te laai, fetch()-versoeke en iframe-invoegings is onderhewig aan beskerming. Beskerming word tans nie toegepas op verbindings via WebSockets, WebTransport en WebRTC nie, maar sal later vir hierdie tegnologieë bygevoeg word.
Aanvallers misbruik interne hulpbrontoegang om CSRF-aanvalle op routers, toegangspunte, drukkers, korporatiewe webkoppelvlakke en ander toestelle en dienste uit te voer wat slegs versoeke van die plaaslike netwerk aanvaar. Verder kan die skandering van interne hulpbronne gebruik word vir indirekte identifikasie of om inligting oor die plaaslike netwerk in te samel.
- 'n Enkele, vereenvoudigde koppelvlak is bekendgestel vir die koppeling aan 'n Google-rekening en die sinchronisering van data, soos gestoorde wagwoorde en boekmerke. Sinchronisering is geïntegreer met rekeningaanmelding en word nie as 'n aparte opsie in instellings aangebied nie. Gebruikers kan Chrome aan hul Google-rekening koppel en dit gebruik om wagwoorde, boekmerke, blaaigeskiedenis en oortjies te stoor. Hierdie kenmerk is tans aktief vir sommige gebruikers en sal geleidelik uitgebrei word.
- 'n Nuwe prosesisolasiemodel word gebruik - "Oorsprongisolasie", waarin elke inhoudsbron (oorsprong - 'n bundel van die protokol, domein en poort, byvoorbeeld, "https://foo.example.com"), word in 'n aparte weergaweproses geïsoleer. Aangesien die verhoging van die isolasiegranulariteit kan lei tot verhoogde geheueverbruik en SVE-las, is die nuwe isolasiemodus slegs geaktiveer op stelsels met meer as 4 GB RAM. Op lae-krag hardeware sal die ou isolasiebenadering steeds gebruik word, wat alle verskillende inhoudsbronne wat met 'n enkele webwerf geassosieer word (byvoorbeeld, foo.example.com en bar.example.com) in 'n aparte proses isoleer.
- Op stelsels met Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- In die weergawe vir Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Die implementering van die DTLS (Datagram Transport Layer Security, 'n TLS-analoog vir UDP) protokol wat vir WebRTC-verbindings gebruik word, sluit die gebruik van post-kwantum enkripsie-algoritmes in.
- Die aktiveringsstatus, wat tydens gebruikersaktiwiteit op 'n bladsy gestel is, word nou behou nadat na 'n ander bladsy op dieselfde domein genavigeer is. Die behoud van aktivering sal die ontwikkeling van veelbladige webtoepassings vereenvoudig en probleme soos die instelling van invoerfokus oplos wanneer die webwerf sy virtuele sleutelbord vertoon.
- Die CSS pseudo-klasse ":target-before" en ":target-after" is bygevoeg om die vorige en volgende merkers relatief tot die huidige blaaiposisie (":target-current") te definieer.
- Stylhouers (@container) en die if()-funksie ondersteun nou die Range Syntax wat in die Media Queries Level 4-spesifikasie gedefinieer is, wat die gebruik van standaard wiskundige vergelykingsoperateurs en logiese operateurs toelaat om waardebereike te definieer. Byvoorbeeld, jy kan nou "@container style(—inner-padding > 1em)" en "background-color: if(style(attr(data-columns, type" spesifiseer. ) > 2): ligblou; anders: wit);"
- Die " " en " " elemente ondersteun nou die "interestfor" kenmerk. Hierdie kenmerk kan gebruik word om aksies te aktiveer, soos om 'n pop-up te vertoon, wanneer die gebruiker belangstelling in die element toon. Die blaaier herken gebeurtenisse soos om die wyser oor die element te beweeg en te hou, sneltoetse te druk, of 'n aanraking op 'n raakskerm vas te hou as aanduidings van belangstelling. Wanneer 'n element met die "interestfor" kenmerk geïdentifiseer word, genereer die blaaier 'n InterestEvent.
- Verbeterings is aangebring aan webontwikkelaarsgereedskap. 'n Vinnige bekendstellingsknoppie vir die KI-assistent is in die regter boonste hoek bygevoeg. Die kontekskieslys-item "Vra KI" is hernoem na "Ontfouting met KI" en uitgebrei om die vermoë in te sluit om onmiddellike aksies uit te voer, afhangende van konteks. In die webkonsole en kodepaneel kan die Gemini KI-assistent nou aanbevelings met kode genereer.
Webontwikkelaarsnutsgoed integreer nou met die Google-ontwikkelaarprogram (GDP). Ontwikkelaars kan nou direk vanaf Chrome DevTools toegang tot hul GDP-profiel kry en belonings verdien vir die voltooiing van spesifieke take binne hierdie koppelvlak.
Benewens nuwe kenmerke en foutherstellings, spreek die nuwe weergawe 20 kwesbaarhede aan. Baie van die kwesbaarhede is geïdentifiseer deur outomatiese toetsing met behulp van AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Geen kritieke probleme wat die omseiling van alle lae van blaaierbeskerming en die uitvoering van kode buite die sandput-omgewing kan toelaat, is geïdentifiseer nie. As deel van die kwesbaarheidspremieprogram vir die huidige weergawe, het Google 20 belonings vasgestel wat altesaam $130 000 beloop (twee $50 000-belonings, een $10 000-belonings, drie $3 000-belonings, twee $2 000-belonings en drie $1 000-belonings) beloop. Die bedrae van agt van die belonings is nog nie bepaal nie.
Daarbenewens is 'n ongepatchte kwesbaarheid in die Blink-enjin geïdentifiseer, wat veroorsaak dat die blaaier vasval en vries wanneer sekere JavaScript-kode uitgevoer word. Die kwesbaarheid word veroorsaak deur argitektoniese probleme in die weergawe-enjin wat verband hou met die gebrek aan 'n tempolimiet op die opdatering van die "document.title"-eienskap. Hierdie gebrek aan beperking laat toe dat "document.title" gebruik word om tientalle miljoene veranderinge per sekonde aan die DOM aan te bring. Dit veroorsaak dat die koppelvlak binne 'n paar sekondes vries as gevolg van die blokkering van die hoofdraad en aansienlike geheueverbruik. Na 15-60 sekondes stort die blaaier vas.
Bron: opennet.ru
