Google hà publicatu a versione 142 di u navigatore web Chrome. Hè ancu dispunibule una versione stabile di u prughjettu open-source Chromium, a basa di Chrome. Chrome si distingue da Chromium per l'usu di i loghi Google, un sistema di notificazione di crash, moduli per a riproduzione di cuntenutu video prutettu da copia (DRM), installazione automatica di aggiornamenti, isolamentu sandbox sempre attivu, provisioning di chjave API Google è u passaghju di parametri RLZ durante a ricerca. Per quelli chì anu bisognu di più tempu per l'aghjurnamentu, una branca Extended Stable separata hè mantenuta per ottu settimane. A prossima versione, Chrome 143, hè prevista per u 2 di dicembre.
Cambiamenti chjave in Chrome 142:
- A prutezzione di l'accessu à u sistema lucale hè attivata quandu si interagisce cù siti web publichi. Quandu si accede à un situ web nantu à una rete publica o interna (intranet), U mo indirizzu IP Quandu si accede à u sistema lucale o à l'interfaccia di loopback (127.0.0.0/8), u navigatore mostrerà una finestra di dialogu à l'utente chì dumanda cunferma. I tentativi di scaricà risorse, e richieste fetch() è l'inserzioni iframe sò cuparti. A prutezzione ùn hè micca attualmente applicata à e cunnessione via WebSockets, WebTransport è WebRTC, ma serà aghjunta per queste tecnulugie più tardi.
L'attaccanti sfruttanu l'accessu à e risorse interne per eseguisce attacchi CSRF à i router, i punti d'accessu, e stampanti, l'interfacce web aziendali è altri dispositivi è servizii chì accettanu solu richieste da a rete lucale. Inoltre, a scansione di e risorse interne pò esse aduprata per l'identificazione indiretta o per raccoglie informazioni nantu à a rete lucale.
- Hè stata introdutta una sola interfaccia simplificata per ligà si à un contu Google è sincronizà i dati, cum'è e password è i segnalibri salvati. A sincronizazione hè integrata cù l'accessu à u contu è ùn hè micca presentata cum'è una opzione separata in i paràmetri. L'utilizatori ponu cunnette Chrome à u so contu Google è aduprà lu per almacenà password, segnalibri, storia di navigazione è tabulazioni. Sta funzione hè attualmente attiva per certi utilizatori, è serà allargata gradualmente.
- Un novu mudellu d'isolamentu di u prucessu hè utilizatu - "Isolamentu di l'Origine", in u quale ogni fonte di cuntenutu (origine - un fasciu di protocolli, duminiu è u portu, per esempiu, "https://foo.example.com"), hè isulatu in un prucessu di rendering separatu. Siccomu l'aumentu di a granularità di l'isolamentu pò purtà à un aumentu di u cunsumu di memoria è di u caricu di a CPU, a nova modalità d'isolamentu hè attivata solu nantu à i sistemi cù più di 4 GB di RAM. Nant'à l'hardware à bassa putenza, u vechju approcciu d'isolamentu continuerà à esse adupratu, chì isola tutte e diverse fonti di cuntenutu assuciate à un unicu situ (per esempiu, foo.example.com è bar.example.com) in un prucessu separatu.
- Nantu à i sistemi cù Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- In a versione per Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- L'implementazione di u protocolu DTLS (Datagram Transport Layer Security, un analogu TLS per UDP) utilizatu per e cunnessione WebRTC include l'usu di algoritmi di crittografia post-quantica.
- U statutu d'attivazione, impostu durante l'attività di l'utente nantu à una pagina, hè avà cunservatu dopu a navigazione versu un'altra pagina nantu à u listessu duminiu. A cunservazione di l'attivazione simplificarà u sviluppu di applicazioni web multipagina è risolverà prublemi cum'è l'impostazione di u focus di input quandu u situ mostra a so tastiera virtuale.
- E pseudo-classi CSS ":target-before" è ":target-after" sò state aghjunte per definisce i marcatori precedente è successivu relativi à a pusizione attuale di scorrimentu (":target-current").
- I cuntenitori di stile (@container) è a funzione if() supportanu avà a Sintassi di l'Intervallu definita in a specificazione Media Queries Level 4, chì permette l'usu di operatori di paragone matematicu standard è operatori logici per definisce intervalli di valori. Per esempiu, pudete avà specificà "@container style(—inner-padding > 1em)" è "background-color: if(style(attr(data-columns, type ) > 2): turchinu chjaru; altrimenti: biancu);"
- L' elementi " " è " " supportanu avà l'attributu "interestfor". Questu attributu pò esse adupratu per attivà azzioni, cum'è a visualizazione di un popup, quandu l'utente mostra interessu à l'elementu. U navigatore ricunnosce eventi cum'è passà u mouse è tene u puntatore sopra l'elementu, appughjà i tasti di scelta rapida, o tene un toccu nantu à un touchscreen cum'è indicatori d'interessu. Quandu un elementu cù l'attributu "interestfor" hè identificatu, u navigatore genera un InterestEvent.
- Sò stati fatti miglioramenti à l'arnesi di sviluppu web. Un buttone di lanciu rapidu per l'assistente AI hè statu aghjuntu in l'angulu in cima à diritta. L'elementu di u menu cuntestuale "Dumandà à l'AI" hè statu rinominatu "Debug cù l'AI" è allargatu per include a capacità di fà azzioni immediate secondu u cuntestu. In a cunsola web è in u pannellu di codice, l'assistente AI Gemini pò avà generà raccomandazioni cù u codice.
L'arnesi di sviluppu web s'integranu avà cù u prugramma di sviluppatori Google (GDP). I sviluppatori ponu avà accede à u so prufilu GDP direttamente da Chrome DevTools è guadagnà ricumpense per avè cumpletatu attività specifiche in questa interfaccia.
In più di e nuove funzionalità è di e correzioni di bug, a nova versione affronta 20 vulnerabilità. Parechje di e vulnerabilità sò state identificate per mezu di test automatizati utilizendu AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer è AFL. Nisun prublema criticu chì puderia permette di bypassà tutti i livelli di prutezzione di u navigatore è eseguisce codice fora di l'ambiente sandbox hè statu identificatu. Cum'è parte di u prugramma di taglie di vulnerabilità per a versione attuale, Google hà stabilitu 20 taglie per un totale di $ 130.000 (due taglie di $ 50.000, una taglia di $ 10000, trè taglie di $ 3000, duie taglie di $ 2000 è trè taglie di $ 1000). L'importi di ottu di e taglie ùn sò ancu stati determinati.
Inoltre, una vulnerabilità senza patch hè stata identificata in u mutore Blink, chì face chì u navigatore si blocchi è si blocchi quandu esegue un certu codice JavaScript. A vulnerabilità hè causata da prublemi architettonichi in u mutore di rendering ligati à a mancanza di un limite di velocità per l'aghjurnamentu di a pruprietà "document.title". Questa mancanza di limitazione permette di aduprà "document.title" per fà decine di milioni di cambiamenti à u DOM per seconda. Questu face chì l'interfaccia si blocchi in pochi secondi per via di u bloccu di u filu principale è di un cunsumu significativu di memoria. Dopu à 15-60 secondi, u navigatore si blocca.
Source: opennet.ru
