أصدرت جوجل الإصدار 142 من متصفح الويب كروم. كما يتوفر إصدار مستقر من مشروع كروميوم مفتوح المصدر، وهو أساس كروم. يختلف كروم عن كروميوم في استخدامه لشعارات جوجل، ونظام إشعارات الأعطال، ووحدات تشغيل محتوى الفيديو المحمي بحقوق الطبع والنشر (DRM)، وتثبيت التحديثات تلقائيًا، وعزل بيئة الحماية الدائمة، وتوفير مفاتيح واجهة برمجة تطبيقات جوجل، وتمرير معلمات RLZ أثناء البحث. ولمن يحتاج إلى مزيد من الوقت للتحديث، يتم الاحتفاظ بفرع مستقر ممتد منفصل لمدة ثمانية أسابيع. ومن المقرر إصدار الإصدار التالي، كروم 143، في 2 ديسمبر.
التغييرات الرئيسية في Chrome 142:
- تم تفعيل الحماية ضد الوصول إلى النظام المحلي عند التفاعل مع المواقع الإلكترونية العامة. عند الوصول إلى موقع إلكتروني على شبكة عامة أو داخلية (إنترانت)، عناوين IP عند الوصول إلى النظام المحلي أو واجهة الاسترجاع (127.0.0.0/8)، سيعرض المتصفح مربع حوار للمستخدم يطلب تأكيدًا. يشمل هذا الحماية محاولات تنزيل الموارد، وطلبات fetch()، وإدراج iframe. لا تُطبق الحماية حاليًا على الاتصالات عبر WebSockets وWebTransport وWebRTC، ولكن ستُضاف لهذه التقنيات لاحقًا.
يستغل المهاجمون الوصول إلى الموارد الداخلية لتنفيذ هجمات تزوير طلبات الموقع (CSRF) على أجهزة التوجيه، ونقاط الوصول، والطابعات، وواجهات الويب الخاصة بالشركات، وغيرها من الأجهزة والخدمات التي لا تقبل سوى الطلبات من الشبكة المحلية. علاوة على ذلك، يمكن استخدام فحص الموارد الداخلية للتعريف غير المباشر أو لجمع معلومات حول الشبكة المحلية.
- تم تقديم واجهة واحدة مبسطة للربط بحساب جوجل ومزامنة البيانات، مثل كلمات المرور المحفوظة والإشارات المرجعية. تتكامل المزامنة مع تسجيل الدخول إلى الحساب، ولا تُعرض كخيار منفصل في الإعدادات. يمكن للمستخدمين ربط كروم بحساب جوجل الخاص بهم واستخدامه لتخزين كلمات المرور والإشارات المرجعية وسجل التصفح وعلامات التبويب. هذه الميزة متاحة حاليًا لبعض المستخدمين، وسيتم توسيعها تدريجيًا.
- يُستخدم نموذج جديد لعزل العمليات - "عزل المصدر"، حيث يكون كل مصدر محتوى (المصدر - حزمة بروتوكول، نطاق ويتم عزل المنفذ، على سبيل المثال "https://foo.example.com"، في عملية عرض منفصلة. ونظرًا لأن زيادة دقة العزل قد تؤدي إلى زيادة استهلاك الذاكرة وحمل وحدة المعالجة المركزية، فإن وضع العزل الجديد مُفعّل فقط على الأنظمة التي تحتوي على أكثر من 4 جيجابايت من ذاكرة الوصول العشوائي (RAM). أما على الأجهزة ذات الطاقة المنخفضة، فسيستمر استخدام أسلوب العزل القديم، الذي يعزل جميع مصادر المحتوى المختلفة المرتبطة بموقع واحد (على سبيل المثال، foo.example.com و bar.example.com) في عملية منفصلة.
- على الأنظمة التي Windows и macOSبالنسبة للتطبيقات التي لا تستخدم إدارة مركزية لمتصفح Chrome، قمنا بتفعيل خاصية التعطيل التلقائي للإضافات المثبتة قسرًا في المتصفح والتي تبيّن أنها تنتهك سياسات متجر Chrome الإلكتروني بشكل طفيف. تشمل هذه الانتهاكات الطفيفة الثغرات الأمنية المحتملة، والإضافات التي تُثبّت عبر الإشعارات دون علم المستخدم، والتلاعب بالبيانات الوصفية، وانتهاكات سياسات بيانات المستخدم، والوظائف المضللة. يمكن للمستخدمين استعادة الإضافات المعطلة إذا رغبوا في ذلك.
- في النسخة ل Androidعلى غرار إصدارات سطح المكتب، تمّ تفعيل تنبيه بشأن الصفحات الاحتيالية التي يكشفها نموذج لغوي متطور يعتمد على تحليل المحتوى. يُستخدم الذكاء الاصطناعي في وضع التصفح الآمن المُحسّن للمتصفح. يعمل نموذج الذكاء الاصطناعي على جانب العميل، ولكن في حال الكشف عن محتوى مشبوه، يتم إجراء فحص إضافي على خوادم جوجل.
- يتضمن تنفيذ بروتوكول DTLS (أمان طبقة نقل البيانات، وهو نظير TLS لـ UDP) المستخدم لاتصالات WebRTC استخدام خوارزميات تشفير ما بعد الكم.
- يتم الآن حفظ حالة التنشيط، التي يتم ضبطها أثناء نشاط المستخدم على الصفحة، بعد الانتقال إلى صفحة أخرى على نفس النطاق. يُسهّل حفظ التنشيط تطوير تطبيقات الويب متعددة الصفحات، ويحل مشاكل مثل ضبط تركيز الإدخال عند عرض الموقع للوحة المفاتيح الافتراضية.
- تمت إضافة فئات CSS الزائفة ":target-before" و ":target-after" لتحديد العلامات السابقة والتالية بالنسبة إلى موضع التمرير الحالي (":target-current").
- تدعم حاويات الأنماط (@container) ودالة if() الآن صيغة النطاق المحددة في مواصفات مستوى استعلامات الوسائط 4، مما يسمح باستخدام عوامل المقارنة الرياضية القياسية والعوامل المنطقية لتحديد نطاقات القيم. على سبيل المثال، يمكنك الآن تحديد "@container style(—inner-padding > 1em)" و"background-color: if(style(attr(data-columns, type ) > 2): أزرق فاتح؛ وإلا: أبيض);"
- يدعم عنصرا " " و " " الآن سمة "interestfor". يمكن استخدام هذه السمة لتفعيل إجراءات، مثل عرض نافذة منبثقة، عند إبداء المستخدم اهتمامًا بالعنصر. يتعرف المتصفح على أحداث مثل تمرير المؤشر فوق العنصر، أو الضغط على مفاتيح الاختصار، أو الضغط باستمرار على شاشة اللمس كمؤشرات على الاهتمام. عند تحديد عنصر يحمل سمة "interestfor"، يُنشئ المتصفح حدث "interestEvent".
- أُجريت تحسينات على أدوات مطوري الويب. أُضيف زر تشغيل سريع لمساعد الذكاء الاصطناعي في الزاوية العلوية اليمنى. أُعيدت تسمية عنصر قائمة السياق "اسأل الذكاء الاصطناعي" إلى "التصحيح باستخدام الذكاء الاصطناعي" وتوسعت لتشمل إمكانية تنفيذ إجراءات فورية بناءً على السياق. في وحدة تحكم الويب ولوحة التعليمات البرمجية، أصبح بإمكان مساعد الذكاء الاصطناعي في Gemini الآن إنشاء توصيات باستخدام التعليمات البرمجية.
أصبحت أدوات مطوّري الويب الآن متكاملة مع برنامج مطوّري جوجل (GDP). يمكن للمطوّرين الآن الوصول إلى ملف تعريفهم في برنامج GDP مباشرةً من Chrome DevTools والحصول على مكافآت مقابل إكمال مهام محدّدة ضمن هذه الواجهة.
بالإضافة إلى الميزات الجديدة وإصلاحات الأخطاء، يُعالج الإصدار الجديد 20 ثغرة أمنية. تم تحديد العديد من هذه الثغرات من خلال الاختبار الآلي باستخدام AddressSanitizer وMemorySanitizer وControl Flow Integrity وLibFuzzer وAFL. لم يتم رصد أي مشاكل حرجة قد تسمح بتجاوز جميع طبقات حماية المتصفح وتنفيذ التعليمات البرمجية خارج بيئة الحماية. كجزء من برنامج مكافآت الثغرات الأمنية للإصدار الحالي، خصصت جوجل 20 مكافأة بقيمة إجمالية 130,000 دولار أمريكي (مكافأتان بقيمة 50,000 دولار أمريكي، ومكافأة واحدة بقيمة 10000 دولار أمريكي، وثلاث مكافآت بقيمة 3000 دولار أمريكي، ومكافأتان بقيمة 2000 دولار أمريكي، وثلاث مكافآت بقيمة 1000 دولار أمريكي). ولم تُحدد بعد قيمة ثماني من هذه المكافآت.
بالإضافة إلى ذلك، تم اكتشاف ثغرة أمنية غير مُعالجة في محرك Blink، تُسبب تعطل المتصفح وتوقفه عن العمل عند تنفيذ بعض أكواد JavaScript. سبب هذه الثغرة هو مشاكل معمارية في محرك العرض تتعلق بعدم وجود حد أقصى لمعدل تحديث الخاصية "document.title". يسمح هذا التعطيل باستخدام "document.title" لإجراء عشرات الملايين من التغييرات على DOM في الثانية. يؤدي هذا إلى تعطل الواجهة في غضون ثوانٍ قليلة بسبب تعطل الخيط الرئيسي واستهلاك الذاكرة بشكل كبير. بعد 15-60 ثانية، يتعطل المتصفح.
المصدر: opennet.ru
