Chrome 102 ልቀት

ጎግል የChrome 102 ድር አሳሽ መልቀቁን ይፋ አድርጓል።በተመሳሳይ ጊዜ የተረጋጋ የChromium ፕሮጄክት የ Chrome መሰረት ሆኖ የሚያገለግል ነው። የChrome አሳሹ ከChromium የሚለየው በጉግል ሎጎዎች አጠቃቀም ፣በብልሽት ጊዜ ማሳወቂያዎችን የሚላክበት ስርዓት መኖር ፣በቅጂ የተጠበቀ የቪዲዮ ይዘትን ለማጫወት ሞጁሎች (DRM) ፣ ማሻሻያዎችን በራስ ሰር የሚጭንበት ስርዓት ፣ ሳንድቦክስን ማግለል በቋሚነት ማንቃት ነው። ለ Google API ቁልፎችን በማቅረብ እና RLZ- ሲፈልጉ ግቤቶችን ማስተላለፍ። ለማዘመን ተጨማሪ ጊዜ ለሚፈልጉ፣ የተራዘመ ቋሚ ቅርንጫፍ ለብቻው ይደገፋል፣ ከዚያም 8 ሳምንታት። ቀጣዩ የChrome 103 ልቀት ለጁን 21 ተይዞለታል።

በChrome 102 ውስጥ ቁልፍ ለውጦች፡-

• ቀደም ሲል የተፈቱ የማህደረ ትውስታ ብሎኮች (ከነጻ ጥቅም በኋላ) በማግኘት የሚፈጠሩትን የተጋላጭነት ብዝበዛ ለመከላከል፣ ከተራ ጠቋሚዎች ይልቅ፣ MiraclePtr (raw_ptr) አይነት ስራ ላይ መዋል ጀመረ። MiraclePtr ነፃ ወደሆኑት የማህደረ ትውስታ ቦታዎች መዳረሻ ላይ ተጨማሪ ፍተሻዎችን የሚያደርግ እና እንደዚህ ያሉ መዳረሻዎች ከተገኙ የሚበላሹ በጠቋሚዎች ላይ ማሰርን ያቀርባል። የአዲሱ የመከላከያ ዘዴ በአፈፃፀም እና በማስታወስ ፍጆታ ላይ ያለው ተጽእኖ እዚህ ግባ የሚባል እንዳልሆነ ይገመገማል. MiraclePtr ዘዴ በሁሉም ሂደቶች ውስጥ ተግባራዊ አይሆንም, በተለይም በሂደቱ ውስጥ ጥቅም ላይ አይውልም, ነገር ግን ደህንነትን በእጅጉ ያሻሽላል. ለምሳሌ፣ አሁን ባለው መለቀቅ፣ ከተስተካከሉ 32 ድክመቶች ውስጥ፣ 12ቱ የተፈጠሩት ከጥቅም ውጪ በሆኑ ችግሮች ነው።
• ስለ ውርዶች መረጃ ያለው የበይነገጽ ንድፍ ተለውጧል። በማውረድ ሂደት ላይ ካለው ዳታ ከታችኛው መስመር ይልቅ አዲስ አመልካች ወደ ፓነሉ አድራሻ አሞሌው ተጨምሯል ፣ እሱን ጠቅ ሲያደርጉ ፋይሎችን የማውረድ ሂደት እና ቀደም ሲል የወረዱ ፋይሎች ዝርዝር ያለው ታሪክ ይታያል ። ከታችኛው ፓነል በተለየ, አዝራሩ በቋሚነት በፓነሉ ላይ ይታያል እና የአውርድ ታሪክዎን በፍጥነት እንዲደርሱበት ያስችልዎታል. አዲሱ በይነገጽ በአሁኑ ጊዜ በነባሪነት ለአንዳንድ ተጠቃሚዎች ብቻ ይቀርባል እና ምንም ችግሮች ከሌሉ ለሁሉም ይራዘማል. የድሮውን በይነገጽ ለመመለስ ወይም አዲስ ለማንቃት የ«chrome://flags#download-bubble» ቅንብር ቀርቧል።
• ምስሎችን በአውድ ምናሌው ("ምስልን በ Google ሌንስ ይፈልጉ" ወይም "በጉግል ሌንስ ያግኙ") ውጤቶቹ አሁን የሚታዩት በተለየ ገጽ ላይ ሳይሆን ከዋናው ገጽ ይዘት ቀጥሎ ባለው የጎን አሞሌ ነው (በ አንድ መስኮት ሁለቱንም የገጹን ይዘት እና እና የፍለጋ ፕሮግራሙን የመድረስ ውጤትን በአንድ ጊዜ ማየት ይችላሉ).
• በቅንብሮች ውስጥ "ግላዊነት እና ደህንነት" ክፍል ውስጥ "የግላዊነት መመሪያ" ክፍል ተጨምሯል ፣ ይህም ግላዊነትን የሚነኩ ዋና ዋና መቼቶች አጠቃላይ እይታ የእያንዳንዱን መቼት ተፅእኖ ዝርዝር ማብራሪያ ይሰጣል ። ለምሳሌ፣ በክፍል ውስጥ ውሂብን ወደ Google አገልግሎቶች ለመላክ፣ ማመሳሰልን፣ ኩኪን ማቀናበር እና ታሪክን የማስቀመጥ ፖሊሲን መግለፅ ትችላለህ። ተግባሩ ለአንዳንድ ተጠቃሚዎች ይቀርባል፤ እሱን ለማግበር “chrome://flags#privacy-guide” የሚለውን መቼት መጠቀም ይችላሉ።
• የፍለጋ ታሪክን እና የታዩ ገጾችን ማዋቀር ቀርቧል። እንደገና ለመፈለግ ሲሞክሩ በአድራሻ አሞሌው ላይ "ጉዞዎን ከቆመበት ይቀጥሉ" የሚል ፍንጭ ይታያል፣ ይህም ፍለጋውን ባለፈው ጊዜ ከተቋረጠበት ቦታ እንዲቀጥሉ ያስችልዎታል።
• የChrome ድር መደብር የሚመከሩ ተጨማሪዎች የመጀመሪያ ምርጫ ያለው የ"Extensions Starter Kit" ገጽን ያቀርባል።
• በሙከራ ሁነታ፣ ገጹ በውስጥ አውታረመረብ ላይ ያለውን ግብዓት ሲደርስ የCORS (የመነሻ ምንጭ ምንጭ ማጋራት) የፍቃድ ጥያቄን ወደ ዋናው ጣቢያ አገልጋይ “መዳረሻ-ቁጥጥር-ጥያቄ-የግል-አውታረ መረብ፡ እውነት” የሚል ርዕስ አለው። 192.168.xx፣ 10.xxx፣ 172.16.xx) ወይም ለ localhost (128.xxx)። ለዚህ ጥያቄ ምላሽ ለመስጠት ክዋኔውን ሲያረጋግጡ አገልጋዩ "መዳረሻ-መቆጣጠሪያ-ፍቀድ-የግል-አውታረ መረብ: እውነት" ራስጌ መመለስ አለበት. በ Chrome ስሪት 102 ውስጥ የማረጋገጫ ውጤቱ የጥያቄውን ሂደት ገና አይጎዳውም - ማረጋገጫ ከሌለ ማስጠንቀቂያ በድር ኮንሶል ውስጥ ይታያል ፣ ግን የንዑስ ምንጭ ጥያቄው ራሱ አልታገደም። ከአገልጋዩ ማረጋገጫ በሌለበት ጊዜ ማገድን ማንቃት Chrome 105 እስኪለቀቅ ድረስ አይጠበቅም። ቀደም ባሉት ልቀቶች ላይ ማገድን ለማንቃት "chrome://flags/#private-network-access-respect-preflight-" ቅንብሩን ማንቃት ይችላሉ። ውጤቶች".

  በአካባቢያዊ አውታረመረብ ወይም በተጠቃሚው ኮምፒዩተር (localhost) ላይ አንድ ጣቢያ ሲከፍቱ ከተጫኑ ስክሪፕቶች ላይ ሀብቶችን ከመድረስ ጋር የተያያዙ ጥቃቶችን ለመከላከል በአገልጋዩ የስልጣን ማረጋገጫ ተጀመረ። እንደዚህ አይነት ጥያቄዎች በአጥቂዎች የCSRF ጥቃቶችን በራውተሮች፣ የመዳረሻ ነጥቦች፣ አታሚዎች፣ የድርጅት ድር በይነገጽ እና ሌሎች ከአካባቢያዊ አውታረመረብ የሚቀርቡ ጥያቄዎችን በሚቀበሉ መሳሪያዎች እና አገልግሎቶች ላይ ለመፈጸም ያገለግላሉ። ከእንደዚህ አይነት ጥቃቶች ለመከላከል በውስጣዊው አውታረመረብ ላይ ማንኛቸውም ንዑስ ምንጮች ከተደረሱ አሳሹ እነዚህን ንዑስ ምንጮች ለመጫን ግልጽ የሆነ የፍቃድ ጥያቄ ይልካል።

• አገናኞችን በማያሳውቅ ሁነታ በአውድ ሜኑ በኩል ሲከፍቱ አንዳንድ ግላዊነትን የሚነኩ መመዘኛዎች ከዩአርኤል በቀጥታ ይወገዳሉ።
• የዊንዶውስ እና አንድሮይድ የማዘመን መላኪያ ስልት ተቀይሯል። የአዲሶቹን እና አሮጌዎቹን ልቀቶች ባህሪ የበለጠ ለማነፃፀር፣ በርካታ የአዲሱ ስሪት ግንባታዎች አሁን ለመውረድ ተፈጥሯል።
• ለቋሚ የመረጃ ማከማቻ ("Supercookies") መለያዎችን በማከማቸት በጣቢያዎች መካከል የተጠቃሚዎችን እንቅስቃሴ የመከታተል ዘዴዎችን ለመከላከል የአውታረ መረብ ክፍፍል ቴክኖሎጂ ተረጋግቷል ። የተሸጎጡ ሃብቶች በጋራ የስም ቦታ ስለሚቀመጡ፣ መነሻው ጎራ ምንም ይሁን ምን፣ አንዱ ጣቢያ ሃብቱ በመሸጎጫው ውስጥ እንዳለ በማጣራት ሌላ ጣቢያ እየተጫነ መሆኑን ሊወስን ይችላል። ጥበቃው የተመሰረተው በኔትወርክ ክፍፍል (ኔትወርክ ክፍፍል) አጠቃቀም ላይ ነው, ዋናው ነገር ወደ የጋራ መሸጎጫዎች መጨመር ዋናው ገጽ ከተከፈተበት ጎራ ጋር ተጨማሪ የመዝገቦች ትስስር መጨመር ነው, ይህም የመሸጎጫ ሽፋን ለእንቅስቃሴ መከታተያ ስክሪፕቶች ብቻ ይገድባል. አሁን ወዳለው ጣቢያ (ከኢፍራም የተገኘ ስክሪፕት ሀብቱ ከሌላ ጣቢያ የወረደ መሆኑን ማረጋገጥ አይችልም)። የግዛት መጋራት የኔትወርክ ግንኙነቶችን (ኤችቲቲፒ/1፣ HTTP/2፣ HTTP/3፣ websocket)፣ የዲኤንኤስ መሸጎጫ፣ ALPN/HTTP2፣ TLS/HTTP3 ውሂብን፣ ውቅረትን፣ ማውረዶችን እና የExpect-CT ራስጌ መረጃን ይሸፍናል።
• ለብቻው ለተጫኑ የድር መተግበሪያዎች (PWA ፣ ፕሮግረሲቭ የድር መተግበሪያ) የመስኮቱን አርእስት አካባቢ የዊንዶው ቁጥጥር ተደራቢ አካላትን በመጠቀም የድረ-ገጹን ማያ ገጽ ወደ አጠቃላይ መስኮት የሚያሰፋውን ዲዛይን መለወጥ ይቻላል ። የድር አፕሊኬሽን መደበኛ የዴስክቶፕ አፕሊኬሽን መስሎ እንዲታይ ከተደራቢው ብሎክ በመደበኛ የመስኮት መቆጣጠሪያ አዝራሮች (መዝጋት፣ ማሳነስ፣ ማብዛት) ካልሆነ በስተቀር አጠቃላይ የመስኮቱን አተረጓጎም እና ግቤት ሂደት መቆጣጠር ይችላል።
• በቅጽ ራስ-ሙላ ሲስተም፣ በመስመር ላይ መደብሮች ውስጥ ላሉ ዕቃዎች የክፍያ ዝርዝሮች ባላቸው መስኮች ምናባዊ የክሬዲት ካርድ ቁጥሮችን ለማመንጨት ድጋፍ ታክሏል። ለእያንዳንዱ ክፍያ የሚመነጨው ቨርቹዋል ካርድ በመጠቀም ስለ እውነተኛ ክሬዲት ካርድ መረጃን እንዳያስተላልፉ ይፈቅድልዎታል, ነገር ግን በባንኩ አስፈላጊውን አገልግሎት መስጠት ያስፈልገዋል. ባህሪው በአሁኑ ጊዜ የሚገኘው ለአሜሪካ ባንክ ደንበኞች ብቻ ነው። የተግባሩን ማካተት ለመቆጣጠር የ"chrome://flags/#autofill-enable-virtual-card" ቅንብር ቀርቧል።
• የ"Capture Handle" ዘዴ በነባሪነት ነቅቷል፣ ይህም ቪዲዮን ወደሚያነሱ መተግበሪያዎች ለማስተላለፍ ያስችልዎታል። ኤፒአይ ይዘታቸው በተቀረጹ መተግበሪያዎች እና ቀረጻውን በሚሰሩ መተግበሪያዎች መካከል ያለውን መስተጋብር ለማደራጀት ያስችላል። ለምሳሌ የዝግጅት አቀራረብን ለማሰራጨት ቪዲዮን እየቀረጸ ያለው የቪዲዮ ኮንፈረንስ መተግበሪያ ስለ አቀራረብ መቆጣጠሪያዎች መረጃን ሰርስሮ በቪዲዮ መስኮቱ ላይ ማሳየት ይችላል።
• የግምታዊ ደንቦች ድጋፍ በነባሪነት ነቅቷል፣ ተጠቃሚው አገናኙን ጠቅ ከማድረግዎ በፊት ከአገናኝ ጋር የተገናኘ ውሂብ በንቃት መጫኑን ለመወሰን ተለዋዋጭ አገባብ ያቀርባል።
• በድር ቅርቅብ ቅርፀት ውስጥ ያሉ ንብረቶችን ወደ ፓኬጆች የማሸግ ዘዴው የተረጋጋ ሲሆን ይህም ብዙ ቁጥር ያላቸው ተጓዳኝ ፋይሎችን የመጫን ቅልጥፍናን ለመጨመር ያስችላል (CSS styles, JavaScript, images, iframes). በዌብፓክ ቅርፀት ውስጥ ካሉ ጥቅሎች በተለየ የዌብ ቅርቅብ ቅርጸት የሚከተሉት ጥቅሞች አሉት፡ በ HTTP መሸጎጫ ውስጥ የተቀመጠው ጥቅሉ ራሱ አይደለም፣ ነገር ግን ክፍሎቹ። የጃቫ ስክሪፕት ማጠናቀር እና አፈፃፀም የሚጀምረው ጥቅሉ ሙሉ በሙሉ እስኪወርድ ድረስ ሳይጠብቅ ነው ። እንደ ሲኤስኤስ እና ምስሎች ያሉ ተጨማሪ ግብዓቶችን እንዲያካተት ተፈቅዶለታል፣ ይህም በዌብፓክ ውስጥ በጃቫስክሪፕት ሕብረቁምፊዎች መልክ መካተት አለበት።
• የPWA አፕሊኬሽን እንደ አንዳንድ MIME አይነቶች እና የፋይል ቅጥያዎች ተቆጣጣሪ አድርጎ መግለጽ ይቻላል። በማኒፌክት ውስጥ ባለው የፋይል_handlers መስክ በኩል አስገዳጅነት ከገለጸ በኋላ ተጠቃሚው ከማመልከቻው ጋር የተያያዘ ፋይል ለመክፈት ሲሞክር አፕሊኬሽኑ ልዩ ክስተት ይቀበላል።
• የDOM ዛፉን ክፍል "የቦዘነ" ምልክት እንዲያደርጉ የሚያስችልዎ አዲስ የማይሰራ ባህሪ ታክሏል። በዚህ ሁኔታ ውስጥ ላሉ የDOM አንጓዎች፣ የጽሑፍ ምርጫ እና የጠቋሚ ማንዣበብ ተቆጣጣሪዎች ተሰናክለዋል፣ ማለትም. ጠቋሚ-ክስተቶች እና በተጠቃሚ የመረጡት የሲኤስኤስ ባህሪያት ሁልጊዜ ወደ 'ምንም' ይቀናበራሉ። መስቀለኛ መንገድ ማረም ከቻለ፣ በማይንቀሳቀስ ሁነታ ላይ የማይስተካከል ይሆናል።
• የድር መተግበሪያዎች የመስኮት አሰሳ ስራዎችን እንዲጠለፉ፣ አሰሳን እንዲጀምሩ እና የእርምጃዎችን ታሪክ በመተግበሪያው እንዲተነትኑ የሚያስችል የዳሰሳ ኤፒአይ ታክሏል። ኤፒአይ ለነጠላ-ገጽ ድረ-ገጽ አፕሊኬሽኖች የተመቻቸ የመስኮት.history እና window.location ንብረቶችን አማራጭ ያቀርባል።
• አዲስ ባንዲራ፣ "እስከሚገኝ" ለ"የተደበቀ" ባህሪ ቀርቧል፣ ይህም ኤለመንቱን በገጹ ላይ መፈለግ እና በጽሁፍ ጭንብል ሊሽከረከር ይችላል። ለምሳሌ, የተደበቀ ጽሑፍን ወደ ገጽ ማከል ይችላሉ, ይዘቱ በአካባቢያዊ ፍለጋዎች ውስጥ ይገኛል.
• በWebHID ኤፒአይ ውስጥ፣ ለ HID መሳሪያዎች ዝቅተኛ ደረጃ ተደራሽነት (የሰው በይነገጽ መሣሪያዎች ፣ የቁልፍ ሰሌዳዎች ፣ አይጦች ፣ የጨዋታ ሰሌዳዎች ፣ የመዳሰሻ ሰሌዳዎች) እና በሲስተሙ ውስጥ የተወሰኑ ሾፌሮች ሳይኖሩ ሥራን ለማደራጀት የተነደፈው የማግለል ማጣሪያዎች ንብረት ወደ ጥያቄው ታክሏል መሳሪያ( ) ነገር፣ አሳሹ የሚገኙትን መሳሪያዎች ዝርዝር በሚያሳይበት ጊዜ የተወሰኑ መሳሪያዎችን እንዲያገለሉ ያስችልዎታል። ለምሳሌ፣ የሚታወቁ ጉዳዮች ያላቸውን የመሣሪያ መታወቂያዎችን ማግለል ይችላሉ።
• ግልጽ የተጠቃሚ እርምጃ ሳይኖር ወደ PaymentRequest.show() በመደወል የክፍያ ቅጽ ማሳየት የተከለከለ ነው፣ ለምሳሌ ከአስተዳዳሪው ጋር የተያያዘውን አካል ጠቅ ማድረግ።
• በWebRTC ውስጥ ክፍለ ጊዜን ለማቋቋም ጥቅም ላይ የሚውለው የኤስዲፒ (የክፍለ ጊዜ መግለጫ ፕሮቶኮል) ፕሮቶኮል አማራጭ ትግበራ ድጋፍ ተቋርጧል። Chrome ሁለት የኤስዲፒ አማራጮችን አቅርቧል - ከሌሎች አሳሾች ጋር የተዋሃደ እና Chrome-ተኮር። ከአሁን ጀምሮ ተንቀሳቃሽ አማራጭ ብቻ ይቀራል።
• ለድር ገንቢዎች በመሳሪያዎች ላይ ማሻሻያዎች ተደርገዋል። የጨለማ እና ቀላል ገጽታ አጠቃቀምን ለማስመሰል ወደ የቅጦች ፓነል የታከሉ አዝራሮች። በአውታረ መረብ ፍተሻ ሁነታ ውስጥ የቅድመ እይታ ትር ጥበቃ ተጠናክሯል (የይዘት ደህንነት ፖሊሲ ትግበራ ነቅቷል)። መግቻ ነጥቦችን እንደገና ለመጫን አራሚው የስክሪፕት መቋረጥን ተግባራዊ ያደርጋል። የአዲሱ "የአፈጻጸም ግንዛቤዎች" ፓነል የመጀመሪያ ደረጃ ትግበራ ቀርቧል, ይህም በገጹ ላይ የተወሰኑ ስራዎችን አፈፃፀም ለመተንተን ያስችልዎታል.

ከፈጠራዎች እና የሳንካ ጥገናዎች በተጨማሪ አዲሱ ስሪት 32 ድክመቶችን ያስወግዳል። የአድራሻ ሳኒቲዘርን፣ የማህደረ ትውስታ ሳኒቲዘርን፣ የመቆጣጠሪያ ፍሰት ኢንተግሪቲ፣ ሊብፉዘርን እና ኤኤፍኤል መሳሪያዎችን በመጠቀም በራስ-ሰር በተደረገ ሙከራ አብዛኛዎቹ ተጋላጭነቶች ተለይተዋል። ከችግሮቹ አንዱ (CVE-2022-1853) ወሳኝ የሆነ የአደጋ ደረጃ ተመድቧል፣ይህም ሁሉንም የአሳሽ ጥበቃ ደረጃዎች ማለፍ እና ከማጠሪያው አከባቢ ውጭ በስርዓቱ ላይ ኮድ ማስፈፀም መቻልን ያሳያል። የዚህ የተጋላጭነት ዝርዝሮች እስካሁን አልተገለጸም፤ በመረጃ ጠቋሚ ዲቢ ኤፒአይ አተገባበር ውስጥ የተለቀቀ የማህደረ ትውስታ ብሎክ (ከነጻ ጥቅም በኋላ) በማግኘት ብቻ እንደሆነ ይታወቃል።

ለአሁኑ የተለቀቀው ተጋላጭነቶችን ለማወቅ እንደ የገንዘብ ሽልማት መርሃ ግብር ፣ Google 24 ዶላር የሚያወጡ 65600 ሽልማቶችን ከፍሏል (አንድ የ10000 ዶላር ሽልማት ፣ አንድ የ7500 ዶላር ሽልማት ፣ ሁለት $7000 ሽልማቶች ፣ ሁለት $ 5000 ሽልማቶች ፣ ሶስት $ 3000 ሽልማቶች ፣ አራት $ 2000 ሽልማቶች ፣ ሁለት $ 1000 ሽልማቶች) $ 500 ጉርሻዎች). የ7ቱ ሽልማቶች መጠን ገና አልተወሰነም።

ምንጭ: opennet.ru