Gipagawas sa Google ang bersyon 142 sa web browser sa Chrome. Ang usa ka lig-on nga pagpagawas sa open-source nga Chromium nga proyekto, ang pundasyon sa Chrome, anaa usab. Ang Chrome lahi sa Chromium sa paggamit niini sa Google logos, crash notification system, modules sa pagdula sa copy-protected video content (DRM), automatic update installation, always-on sandbox isolation, provisioning sa Google API keys, ug ang pagpasa sa RLZ parameters atol sa pagpangita. Alang niadtong nanginahanglan ug dugang panahon sa pag-update, usa ka bulag nga Extended Stable nga sanga ang gipadayon sulod sa walo ka semana. Ang sunod nga pagpagawas, ang Chrome 143, gikatakda sa Disyembre 2.
Mga dagkong kausaban sa Chrome 142:
- Ang proteksyon sa pag-access sa lokal nga sistema gipaandar kung makig-uban sa mga pampublikong website. Kung mag-access sa usa ka website sa usa ka publiko o internal nga network (intranet), Akong IP address Kon mo-access sa local system o loopback interface (127.0.0.0/8), ang browser mopakita og dialog box sa user nga mangayo og kumpirmasyon. Apil na niini ang mga pagsulay sa pag-download og mga resources, fetch() requests, ug iframe insertions. Ang proteksyon wala pa magamit sa mga koneksyon pinaagi sa WebSockets, WebTransport, ug WebRTC, apan idugang kini para niini nga mga teknolohiya sa ulahi.
Gipahimuslan sa mga tig-atake ang pag-access sa internal nga kapanguhaan aron mahimo ang mga pag-atake sa CSRF sa mga router, access point, printer, corporate web interface, ug uban pang mga aparato ug serbisyo nga modawat lamang sa mga hangyo gikan sa lokal nga network. Dugang pa, ang pag-scan sa internal nga mga kahinguhaan mahimong magamit alang sa dili direkta nga pag-ila o sa pagkolekta sa kasayuran bahin sa lokal nga network.
- Usa ka usa, gipasimple nga interface ang gipaila alang sa pag-link sa usa ka Google account ug pag-sync sa data, sama sa gitipig nga mga password ug mga bookmark. Ang pag-sync gisagol sa pag-sign-in sa account ug wala gipresentar isip usa ka bulag nga kapilian sa mga setting. Ang mga tiggamit makakonektar sa Chrome sa ilang Google account ug magamit kini sa pagtipig sa mga password, bookmark, kasaysayan sa pag-browse, ug mga tab. Kini nga bahin aktibo karon alang sa pipila nga mga tiggamit, ug hinayhinay nga mapalapad.
- Usa ka bag-ong modelo sa pagbulag sa proseso ang gigamit - "Origin Isolation", diin ang matag tinubdan sa sulud (origin - usa ka bundle gikan sa protocol, domain ug ang port, pananglitan, "https://foo.example.com"), gi-isolate sa usa ka lahi nga proseso sa pag-render. Tungod kay ang pagdugang sa isolation granularity mahimong mosangpot sa dugang nga konsumo sa memorya ug CPU load, ang bag-ong isolation mode ma-enable lamang sa mga sistema nga adunay sobra sa 4 GB nga RAM. Sa low-power hardware, ang daan nga pamaagi sa isolation magpadayon nga gamiton, nga nag-isolate sa tanan nga lainlaing mga tinubdan sa sulud nga nalangkit sa usa ka site (pananglitan, foo.example.com ug bar.example.com) sa usa ka lahi nga proseso.
- Sa mga sistema nga adunay Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Sa bersyon alang sa Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Ang pagpatuman sa DTLS (Datagram Transport Layer Security, usa ka TLS analog para sa UDP) nga protocol nga gigamit alang sa mga koneksyon sa WebRTC naglakip sa paggamit sa post-quantum encryption algorithms.
- Ang kahimtang sa pagpaaktibo, nga gitakda sa panahon sa kalihokan sa tiggamit sa usa ka panid, gipreserbar na karon pagkahuman sa pag-navigate sa lain nga panid sa parehas nga domain. Ang pagpreserbar sa pagpaaktibo makapasayon sa pagpalambo sa multi-panid nga mga aplikasyon sa web ug pagsulbad sa mga problema sama sa pag-set sa input focus sa dihang ang site magpakita sa iyang virtual nga keyboard.
- Ang CSS pseudo-classes nga ":target-before" ug ":target-after" gidugang aron ipasabot ang nangagi ug sunod nga mga marker kalabot sa kasamtangang posisyon sa scroll (":target-current").
- Style containers (@container) ug ang if() function karon nagsuporta sa Range Syntax nga gihubit sa Media Queries Level 4 specification, nga nagtugot sa paggamit sa standard mathematical comparison operators ug logical operators sa paghubit sa range sa values. Pananglitan, mahimo nimong itakda ang "@container style(—inner-padding > 1em)" ug "background-color: if(style(attr(data-columns, type ) > 2): kahayag nga asul; uban: puti);"
- Ang " " ug " " nga mga elemento karon nagsuporta sa "interestfor" attribute. Kini nga hiyas mahimong magamit sa pag-trigger sa mga aksyon, sama sa pagpakita sa usa ka popup, kung ang user nagpakita og interes sa elemento. Ang browser makaila sa mga panghitabo sama sa pagpalupad ug paghawid sa pointer ibabaw sa elemento, pagpindot sa mga hotkey, o pagpugong sa paghikap sa touchscreen isip mga timailhan sa interes. Kung nahibal-an ang usa ka elemento nga adunay "interestfor" nga hiyas, ang browser maghimo usa ka InterestEvent.
- Gihimo ang mga pag-ayo sa mga gamit sa web developer. Ang usa ka dali nga buton sa paglansad alang sa AI assistant gidugang sa taas nga tuo nga suok. Ang item sa menu sa konteksto nga "Pangutan-a AI" giusab ang ngalan sa "Pag-debug gamit ang AI" ug gipalapdan aron maapil ang abilidad sa paghimo dayon nga mga aksyon depende sa konteksto. Sa web console ug code panel, ang Gemini AI assistant makahimo na karon og mga rekomendasyon nga adunay code.
Ang mga himan sa web developer karon nahiusa sa Google Developer Program (GDP). Ma-access na karon sa mga developers ang ilang profile sa GDP direkta gikan sa Chrome DevTools ug makakuha og mga ganti sa pagkompleto sa mga piho nga buluhaton sulod niini nga interface.
Dugang sa mga bag-ong feature ug pag-ayo sa bug, ang bag-ong bersyon nagtubag sa 20 ka mga kahuyangan. Daghan sa mga kahuyangan ang giila pinaagi sa automated testing gamit ang AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, ug AFL. Wala'y kritikal nga mga isyu nga makatugot sa pag-bypass sa tanan nga mga layer sa proteksyon sa browser ug pagpatuman sa code sa gawas sa sandbox environment nga nahibal-an. Isip kabahin sa vulnerability bounty program alang sa kasamtangang pagpagawas, ang Google nakatukod ug 20 ka bounties nga nagkantidad ug $130,000 (duha ka $50,000 nga mga bounty, usa ka $10000 nga bounty, tulo ka $3000 nga mga bounty, duha ka $2000 nga mga bounty, ug tulo ka $1000 nga mga bounty). Ang kantidad sa walo sa mga pabuya wala pa matino.
Dugang pa, ang usa ka wala ma-patch nga kahuyangan nahibal-an sa Blink engine, hinungdan sa pag-crash ug pag-freeze sa browser kung nagpatuman sa piho nga code sa JavaScript. Ang pagkahuyang tungod sa mga isyu sa arkitektura sa rendering engine nga may kalabutan sa kakulang sa limitasyon sa rate sa pag-update sa "document.title" nga kabtangan. Kining kakuwang sa limitasyon nagtugot sa "document.title" nga gamiton sa paghimo og napulo ka milyon nga mga kausaban sa DOM kada segundo. Kini ang hinungdan sa interface nga mag-freeze sulod sa pipila ka segundo tungod sa nag-unang hilo nga gibabagan ug mahinungdanon nga konsumo sa memorya. Human sa 15-60 segundos, ang browser nahagsa.
Source: opennet.ru
