Izdanje Chrome 142 web preglednika

Google je objavio verziju 142 web preglednika Chrome. Dostupna je i stabilna verzija projekta otvorenog koda Chromium, temelja Chromea. Chrome se razlikuje od Chromiuma po korištenju Google logotipa, sistemu obavještavanja o padu sistema, modulima za reprodukciju video sadržaja zaštićenog od kopiranja (DRM), automatskoj instalaciji ažuriranja, stalno uključenoj izolaciji sandboxa, pružanju Google API ključeva i prosljeđivanju RLZ parametara tokom pretrage. Za one kojima je potrebno više vremena za ažuriranje, posebna proširena stabilna grana održava se osam sedmica. Sljedeće izdanje, Chrome 143, zakazano je za 2. decembar.

Ključne promjene u Chrome 142:

• Omogućena je zaštita od pristupa lokalnom sistemu prilikom interakcije s javnim web stranicama. Prilikom pristupa web stranici na javnoj ili internoj mreži (intranet), Moja IP adresa Prilikom pristupa lokalnom sistemu ili loopback interfejsu (127.0.0.0/8), preglednik će korisniku prikazati dijaloški okvir sa zahtjevom za potvrdu. Pokušaji preuzimanja resursa, fetch() zahtjevi i umetanje iframe-ova su obuhvaćeni. Zaštita se trenutno ne primjenjuje na veze putem WebSocketsa, WebTransporta i WebRTC-a, ali će za ove tehnologije biti dodana kasnije.

  Napadači iskorištavaju pristup internim resursima kako bi izvršili CSRF napade na rutere, pristupne tačke, štampače, korporativne web interfejse i druge uređaje i usluge koji prihvataju samo zahtjeve iz lokalne mreže. Nadalje, skeniranje internih resursa može se koristiti za indirektnu identifikaciju ili za prikupljanje informacija o lokalnoj mreži.
• Uveden je jedinstveni, pojednostavljeni interfejs za povezivanje s Google računom i sinhronizaciju podataka, kao što su sačuvane lozinke i oznake. Sinhronizacija je integrirana s prijavom na račun i nije predstavljena kao zasebna opcija u postavkama. Korisnici mogu povezati Chrome sa svojim Google računom i koristiti ga za pohranjivanje lozinki, oznaka, historije pregledavanja i kartica. Ova funkcija je trenutno aktivna za neke korisnike i bit će postepeno proširivana.
• Koristi se novi model izolacije procesa - „Izolacija porijekla“, u kojem svaki izvor sadržaja (poreklo - povezivanje protokola, domen i port, na primjer, "https://foo.example.com"), je izolovan u odvojenom procesu renderiranja. Budući da povećanje granularnosti izolacije može dovesti do povećane potrošnje memorije i opterećenja CPU-a, novi način izolacije je omogućen samo na sistemima sa više od 4 GB RAM-a. Na hardveru niske snage, nastavit će se koristiti stari pristup izolacije, koji izoluje sve različite izvore sadržaja povezane s jednom web-lokacijom (na primjer, foo.example.com i bar.example.com) u odvojenom procesu.
• Na sistemima sa Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
• U verziji za Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
• Implementacija DTLS (Datagram Transport Layer Security, TLS analog za UDP) protokola koji se koristi za WebRTC veze uključuje upotrebu algoritama post-kvantne enkripcije.
• Status aktivacije, postavljen tokom aktivnosti korisnika na stranici, sada se čuva nakon prelaska na drugu stranicu na istoj domeni. Čuvanje aktivacije će pojednostaviti razvoj web aplikacija s više stranica i riješiti probleme kao što je postavljanje fokusa unosa kada stranica prikazuje svoju virtuelnu tastaturu.
• CSS pseudo-klase ":target-before" i ":target-after" su dodane kako bi se definisali prethodni i sljedeći markeri u odnosu na trenutnu poziciju skrolovanja (":target-current").
• Kontejneri stilova (@container) i funkcija if() sada podržavaju sintaksu raspona definiranu u specifikaciji Media Queries Level 4, koja omogućava korištenje standardnih matematičkih operatora poređenja i logičkih operatora za definiranje raspona vrijednosti. Na primjer, sada možete navesti "@container style(—inner-padding > 1em)" i "background-color: if(style(attr(data-columns, type ) > 2): svijetloplava; inače: bijela);"
• Elementi " " i " " sada podržavaju atribut "interestfor". Ovaj atribut se može koristiti za pokretanje radnji, kao što je prikazivanje skočnog prozora, kada korisnik pokaže interes za element. Preglednik prepoznaje događaje poput zadržavanja pokazivača iznad elementa, pritiskanja prečica ili zadržavanja dodira na ekranu osjetljivom na dodir kao indikatore interesa. Kada se identificira element s atributom "interestfor", preglednik generira InterestEvent.
• Poboljšanja su napravljena u alatima za web developere. Dugme za brzo pokretanje AI asistenta dodano je u gornji desni ugao. Stavka kontekstnog menija "Pitajte AI" preimenovana je u "Debug with AI" i proširena je tako da uključuje mogućnost izvršavanja trenutnih radnji ovisno o kontekstu. U web konzoli i panelu koda, Gemini AI asistent sada može generirati preporuke s kodom.

  Alati za web developere sada se integriraju s Google Developer Programom (GDP). Developeri sada mogu pristupiti svom GDP profilu direktno iz Chrome DevToolsa i zaraditi nagrade za dovršavanje određenih zadataka unutar ovog interfejsa.

  

Pored novih funkcija i ispravki grešaka, nova verzija rješava 20 ranjivosti. Mnoge od ranjivosti su identifikovane putem automatizovanog testiranja korištenjem AddressSanitizer-a, MemorySanitizer-a, Control Flow Integrity-a, LibFuzzer-a i AFL-a. Nisu identifikovani kritični problemi koji bi mogli omogućiti zaobilaženje svih slojeva zaštite preglednika i izvršavanje koda izvan sandbox okruženja. Kao dio programa nagrada za ranjivosti za trenutno izdanje, Google je uspostavio 20 nagrada u ukupnom iznosu od 130.000 dolara (dvije nagrade od 50.000 dolara, jedna od 10000 dolara, tri od 3000 dolara, dvije od 2000 dolara i tri od 1000 dolara). Iznosi osam nagrada još nisu određeni.

Pored toga, u Blink engine-u je identifikovana nezakrpljena ranjivost koja uzrokuje pad i zamrzavanje preglednika prilikom izvršavanja određenog JavaScript koda. Ranjivost je uzrokovana arhitektonskim problemima u rendering engine-u koji se odnose na nedostatak ograničenja brzine ažuriranja svojstva "document.title". Ovaj nedostatak ograničenja omogućava da se "document.title" koristi za vršenje desetina miliona promjena DOM-a u sekundi. To uzrokuje zamrzavanje interfejsa u roku od nekoliko sekundi zbog blokiranja glavne niti i značajne potrošnje memorije. Nakon 15-60 sekundi, preglednik se ruši.

izvor: opennet.ru