ጎግል የ Chrome ድር አሳሽ ስሪት 142 አውጥቷል። የChrome መሰረት የሆነው የክፍት ምንጭ የChromium ፕሮጀክት የተረጋጋ ልቀት እንዲሁ አለ። Chrome ከChromium የሚለየው የጎግል ሎጎዎችን፣ የብልሽት ማሳወቂያ ስርዓትን፣ ቅጂ-የተጠበቀ ቪዲዮ ይዘትን (DRMን) ለማጫወት ሞጁሎች፣ አውቶማቲክ ማሻሻያ መጫን፣ ሁልጊዜ ማጠሪያ ላይ መነጠል፣ የGoogle API ቁልፎችን በማቅረብ እና በፍለጋ ወቅት የRLZ መለኪያዎችን ማለፍ። ለማዘመን ተጨማሪ ጊዜ ለሚፈልጉ፣ የተለየ የተራዘመ የተረጋጋ ቅርንጫፍ ለስምንት ሳምንታት ይቆያል። ቀጣዩ ልቀት Chrome 143 ለታህሳስ 2 ተይዞለታል።
በChrome 142 ውስጥ ቁልፍ ለውጦች፡-
- ከሕዝብ ድር ጣቢያዎች ጋር ሲገናኙ የአካባቢ ስርዓት መዳረሻ ጥበቃ ይነቃል። በይፋዊ ወይም ውስጣዊ አውታረ መረብ (ኢንትራኔት) ላይ ድር ጣቢያ ሲደርሱ፣ የእኔ አይፒ አድራሻ የአካባቢውን ስርዓት ወይም የሉፕባክ በይነገጽ (127.0.0.0/8) ሲደርሱ፣ አሳሹ ማረጋገጫ ለሚጠይቅ ተጠቃሚ የንግግር ሳጥን ያሳያል። ሀብቶችን፣ የfetch() ጥያቄዎችን እና የiframe ማስገቢያዎችን ለማውረድ የሚደረጉ ሙከራዎች ተሸፍነዋል። ጥበቃ በአሁኑ ጊዜ በWebSockets፣ WebTransport እና WebRTC በኩል ላሉ ግንኙነቶች አይተገበርም፣ ነገር ግን ለእነዚህ ቴክኖሎጂዎች በኋላ ላይ ይታከላል።
አጥቂዎች የCSRF ጥቃቶችን በራውተሮች፣ የመዳረሻ ነጥቦች፣ አታሚዎች፣ የድርጅት ድር በይነገጽ እና ሌሎች ከአካባቢያዊ አውታረመረብ የሚቀርቡ ጥያቄዎችን በሚቀበሉ መሳሪያዎች እና አገልግሎቶች ላይ የCSRF ጥቃቶችን ለመፈጸም የውስጥ ሃብት መዳረሻን ይጠቀማሉ። በተጨማሪም የውስጥ ምንጮችን መቃኘት በተዘዋዋሪ ለመለየት ወይም ስለአካባቢው አውታረመረብ መረጃ ለመሰብሰብ ሊያገለግል ይችላል።
- ከጎግል መለያ ጋር ለማገናኘት እና እንደ የተቀመጡ የይለፍ ቃሎች እና ዕልባቶች ያሉ መረጃዎችን ለማመሳሰል አንድ ነጠላ ቀለል ያለ በይነገጽ ገብቷል። ማመሳሰል ከመለያ መግቢያ ጋር የተዋሃደ ነው እና በቅንብሮች ውስጥ እንደ የተለየ አማራጭ አልቀረበም። ተጠቃሚዎች Chromeን ከጎግል መለያቸው ጋር ማገናኘት እና የይለፍ ቃላትን፣ ዕልባቶችን፣ የአሰሳ ታሪክን እና ትሮችን ለማከማቸት ሊጠቀሙበት ይችላሉ። ይህ ባህሪ በአሁኑ ጊዜ ለአንዳንድ ተጠቃሚዎች ገባሪ ነው፣ እና ቀስ በቀስ ይሰፋል።
- አዲስ የሂደት ማግለያ ሞዴል ጥቅም ላይ ውሏል - “የመነሻ ማግለያ”፣ በዚህ ውስጥ እያንዳንዱ የይዘት ምንጭ (መነሻ - የፕሮቶኮል ትስስር፣ ጎራ እና ወደብ፣ ለምሳሌ "https://foo.example.com")፣ በተለየ የምስል ሂደት ውስጥ ተለይቷል። የመለያየት አንኳርነትን መጨመር የማህደረ ትውስታ ፍጆታን እና የሲፒዩ ጭነትን ሊያስከትል ስለሚችል፣ አዲሱ የመለያየት ሁነታ የሚነቃው ከ4 ጊባ በላይ ራም ባላቸው ስርዓቶች ላይ ብቻ ነው። በዝቅተኛ ኃይል ባለው ሃርድዌር ላይ፣ የድሮው የመለያየት አቀራረብ ጥቅም ላይ መዋል ይቀጥላል፣ ይህም ከአንድ ጣቢያ ጋር የተያያዙ ሁሉንም የተለያዩ የይዘት ምንጮችን (ለምሳሌ፣ foo.example.com እና bar.example.com) በተለየ ሂደት ውስጥ ያገልላል።
- በስርዓቶች ላይ ከ ጋር Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- በስሪት ውስጥ ለ Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- ለWebRTC ግንኙነቶች ጥቅም ላይ የሚውለው የዲቲኤልኤስ (ዳታግራም ትራንስፖርት ንብርብር ደህንነት፣ የቲኤልኤስ አናሎግ ለ UDP) ፕሮቶኮል ትግበራ የድህረ-ኳንተም ምስጠራ ስልተ ቀመሮችን ያካትታል።
- በአንድ ገጽ ላይ ባለው የተጠቃሚ እንቅስቃሴ ወቅት የተቀናበረው የማግበር ሁኔታ አሁን ወደ ሌላ ገጽ በተመሳሳይ ጎራ ከሄደ በኋላ ተጠብቆ ይገኛል። ማግበርን ማቆየት የባለብዙ ገጽ ድረ-ገጽ አፕሊኬሽኖችን ቀላል ያደርገዋል እና ጣቢያው ምናባዊ የቁልፍ ሰሌዳውን በሚያሳይበት ጊዜ የግቤት ትኩረትን እንደ ማቀናበር ያሉ ችግሮችን ይፈታል።
- የ CSS አስመሳይ ክፍሎች ": target-before" እና ": target-after" ታክለዋል ቀዳሚውን እና ቀጣይ ምልክቶችን ከአሁኑ የሽብልቅ አቀማመጥ አንፃር (": target-current")።
- የስታይል ኮንቴይነሮች (@container) እና if() ተግባር አሁን በመገናኛ ብዙኃን መጠይቆች ደረጃ 4 ዝርዝር ውስጥ የተገለጸውን የክልሎች አገባብ ይደግፋሉ፣ ይህም መደበኛ የሂሳብ ንጽጽር ኦፕሬተሮችን እና ሎጂካዊ ኦፕሬተሮችን የእሴቶችን ክልል ለመለየት ያስችላል። ለምሳሌ፣ አሁን "@container style(-inner-padding> 1em)" እና "background-color: if(style(attr(data-columns, type)" መግለጽ ይችላሉ። ) > 2): ፈዛዛ ሰማያዊ; ሌላ: ነጭ);"
- የ" " እና " አካላት አሁን የ"interestfor" ባህሪን ይደግፋሉ። ይህ ባህሪ ተጠቃሚው ለኤለመንት ፍላጎት በሚያሳይበት ጊዜ እንደ ብቅ ባይ ማሳየት ያሉ ድርጊቶችን ለመቀስቀስ ሊያገለግል ይችላል። አሳሹ እንደ የፍላጎት አመልካቾች ጠቋሚውን በኤለመንቱ ላይ ማንዣበብ እና መያዝ፣ ትኩስ ቁልፎችን መጫን ወይም በንክኪ ስክሪን መያዝ ያሉ ክስተቶችን ይገነዘባል። የ"interestfor" ባህሪ ያለው አካል ሲታወቅ አሳሹ InterestEvent ይፈጥራል።
- በድር ገንቢ መሳሪያዎች ላይ ማሻሻያዎች ተደርገዋል። ለ AI ረዳት ፈጣን የማስጀመሪያ ቁልፍ በላይኛው ቀኝ ጥግ ላይ ተጨምሯል። የ"Ask AI" አውድ ሜኑ ንጥሉ "በ AI ማረም" ተብሎ ተቀይሯል እና እንደ አውድ አፋጣኝ እርምጃዎችን የመፈጸም ችሎታን ይጨምራል። በድር ኮንሶል እና በኮድ ፓነል ውስጥ የጌሚኒ AI ረዳት አሁን በኮድ ምክሮችን መፍጠር ይችላል።
የድር ገንቢ መሳሪያዎች አሁን ከGoogle ገንቢ ፕሮግራም (ጂዲፒ) ጋር ተዋህደዋል። ገንቢዎች አሁን ከChrome DevTools በቀጥታ የሀገር ውስጥ ምርት መገለጫቸውን መድረስ እና በዚህ በይነገጽ ውስጥ የተወሰኑ ተግባራትን በማጠናቀቅ ሽልማቶችን ማግኘት ይችላሉ።
ከአዳዲስ ባህሪያት እና የሳንካ ጥገናዎች በተጨማሪ አዲሱ ስሪት 20 ተጋላጭነቶችን ይዳስሳል። አብዛኛዎቹ ተጋላጭነቶች AddressSanitizer፣ MemorySanitizer፣ Control Flow Integrity፣ LibFuzzer እና AFLን በመጠቀም በራስ-ሰር በመሞከር ተለይተዋል። ሁሉንም የአሳሽ ጥበቃ ንብርብሮች ለማለፍ እና ከማጠሪያው አካባቢ ውጭ ኮድን ለማስፈጸም የሚያስችሉ ምንም ወሳኝ ጉዳዮች አልተገኙም። ለአሁኑ የተጋላጭነት ጉርሻ ፕሮግራም አካል፣ ጎግል በድምሩ 130,000 ዶላር (ሁለት የ50,000 ጉርሻዎች፣ አንድ የ$10000 ጉርሻ፣ ሶስት $3000 ጉርሻዎች፣ ሁለት $2000 ጉርሻዎች እና ሶስት $1000 ጉርሻዎች) 20 ጉርሻዎችን አቋቁሟል። የስጦታዎቹ ስምንቱ መጠን ገና አልተገለጸም።
በተጨማሪም፣ በBlink ሞተር ውስጥ ያልታሸገ ተጋላጭነት ተለይቷል፣ ይህም አንዳንድ የጃቫ ስክሪፕት ኮድ ሲሰራ አሳሹ እንዲበላሽ እና እንዲቀዘቅዝ አድርጓል። ተጋላጭነቱ የተፈጠረው በ"ሰነድ.ርዕስ" ንብረቱ ላይ ካለው የዋጋ ገደብ እጥረት ጋር በተዛመደ በምስል ሞተሩ ውስጥ ባሉ የስነ-ህንፃ ችግሮች ነው። ይህ ገደብ እጦት "document.title" በ DOM በሰከንድ በአስር ሚሊዮኖች የሚቆጠሩ ለውጦችን ለማድረግ ጥቅም ላይ እንዲውል ይፈቅዳል። ይህ ዋናው ክር በመዘጋቱ እና ጉልህ በሆነ የማስታወሻ ፍጆታ ምክንያት በይነገጽ በጥቂት ሰከንዶች ውስጥ እንዲቀዘቅዝ ያደርገዋል። ከ15-60 ሰከንድ በኋላ አሳሹ ይበላሻል።
ምንጭ: opennet.ru
