Vydání webového prohlížeče Chrome 141

Společnost Google vydala verzi 141 webového prohlížeče Chrome. K dispozici je také stabilní verze open-source projektu Chromium, který je základem Chromu. Chrome se od Chromia liší používáním log Google, systémem upozorňování na pády, moduly pro přehrávání video obsahu chráněného proti kopírování (DRM), automatickou instalací aktualizací, izolací v sandboxu (alway-on sandbox), poskytováním klíčů Google API a předáváním parametrů RLZ během vyhledávání. Pro ty, kteří potřebují více času na aktualizaci, je po dobu osmi týdnů udržována samostatná větev Extended Stable. Další verze, Chrome 142, je naplánována na 28. října.

Klíčové změny v Chrome 141:

  • Pro některé uživatele byl aktivován chatbot Gemini integrovaný do prohlížeče. Dokáže vysvětlit obsah prohlížené stránky a odpovídat na otázky týkající se stránky, aniž by bylo nutné přepínat z aktuální karty. Pro vyvolání Gemini bylo do pravého horního rohu obrazovky přidáno tlačítko. Po kliknutí se zobrazí dialogové okno, které uživatelům umožňuje klást otázky v přirozeném jazyce a vybírat karty, jejichž obsah by měla umělá inteligence zvážit při generování odpovědi. Je podporována textová a hlasová komunikace s botem. Tato funkce je k dispozici uživatelům z USA, kteří mají přístup k aplikaci Gemini a používají platformy. macOS, iOS a Windows.
    
Vydání webového prohlížeče Chrome 141
  • Byla povolena ochrana proti přístupu k lokálnímu systému (loopback, 127.0.0.0/8) nebo interní síti (192.168.0.0/16, 10.0.0.0/8 atd.) při interakci s veřejnými webovými stránkami. Při pokusu o načtení interních zdrojů prohlížeč nyní zobrazí dialogové okno s žádostí o potvrzení. Přístup k interním zdrojům útočníci využívají k provádění CSRF útoků na routery, přístupové body, tiskárny, firemní webová rozhraní a další zařízení a služby, které přijímají požadavky pouze z lokální sítě. Skenování interních zdrojů lze dále použít k nepřímé identifikaci nebo ke shromažďování informací o lokální síti.
  • Začal přechod na podrobnější model izolace procesů – „izolaci původu“, ve kterém každý zdroj obsahu (původ – balíček z protokolu, doména a port, například „https://foo.example.com“), jsou izolovány v samostatném procesu vykreslování. Vzhledem k tomu, že zvýšení granularity izolace může vést ke zvýšené spotřebě paměti a zatížení CPU, je nový režim izolace povolen pouze v systémech s více než 4 GB RAM. Na hardwaru s nízkou spotřebou energie bude i nadále používán starý přístup k izolaci, který izoluje všechny různé zdroje obsahu spojené s jedním webem (například foo.example.com a bar.example.com) v samostatném procesu. Tato funkce je v současné době povolena pro některé uživatele a bude postupně rozšiřována o další uživatele.
  • Pro rozhraní Storage Access API byla povolena zásada „Stejný původ“. Volání funkce „document.requestStorageAccess()“ z kódu načteného prostřednictvím prvku iframe z jiného webu nyní ve výchozím nastavení cílí pouze na web, ze kterého je prvek iframe načten, nikoli na web, který iframe hostuje.
  • Přidána heuristika pro detekci zachycení nebo přesměrování na externí weby na straně klienta u vyhledávacích dotazů zadaných do adresního řádku nebo na stránce zobrazené při otevření nové karty. Tento typ zachycení používají některé škodlivé doplňky. Kontrola se provádí porovnáním zadaných dotazů uživatelem s výsledky vyhledávání, která se zobrazí. Pokud je v režimu Bezpečného prohlížení zjištěna záměna, serveru Google odesílá telemetrii pro podrobnější analýzu s přihlédnutím k telemetrii od různých uživatelů.
  • Na stránce Nová karta se nyní ve spodním panelu zobrazujícím informace o doplňcích ovlivňujících obsah stránky Nová karta zobrazují informace o centrálně spravovaném zařízení.
    
Vydání webového prohlížeče Chrome 141
  • V systémech s uživatelskými profily propojenými s poskytovateli ověřování třetích stran byla implementována možnost spouštět příkazy pro vzdálenou správu, jako je například vymazání mezipaměti nebo souborů cookie.
  • API IndexedDB implementuje metodu getAllRecords(), která načítá všechny záznamy z úložiště objektů (IDBObjectStore) a indexu (IDBIndex). Metoda getAllRecords() kombinuje funkcionalitu metod getAllKeys() a getAll() pro načtení primárních klíčů a jejich přidružených hodnot. Metody getAll() a getAllKeys() nyní obsahují parametr „direction“ pro určení směru načítání dat, což může urychlit určité operace čtení ve srovnání s použitím kurzorů.
  • Přidáno API „WebRTC Encoded Transform“ pro zpracování kódovaných mediálních dat přenášených přes RTCPeerConnection.
  • Přidána podpora atributů „width“ a „height“ pro vnořené elementy , jehož velikost lze ovládat pomocí CSS nebo SVG kódu.
  • Byly provedeny vylepšení nástrojů pro webové vývojáře. Byl přidán experimentální server MCP (Model Context Protocol), který umožňuje externím asistentům s umělou inteligencí přístup k funkcím Chrome DevTools.

V době psaní tohoto článku nebyly v oznámení ani ve sledovači změn k dispozici žádné informace o opravených zranitelnostech.

Aktualizace: Den po vydání byly zveřejněny informace o opravených zranitelnostech. Chrome 141 opravuje 21 zranitelností. Mnoho z těchto zranitelností bylo identifikováno automatizovaným testováním pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Nebyly identifikovány žádné kritické problémy, které by mohly umožnit obejít všechny vrstvy ochrany prohlížeče a spustit kód mimo prostředí sandbox. V rámci svého programu odměn za zranitelnosti pro aktuální verzi společnost Google udělila 12 odměn v celkové výši 50 000 USD (po jedné odměně 25 000 USD, 5 000 USD, 4 000 USD a 2 000 USD, čtyři odměny 3 000 USD a dvě odměny 1 000 USD). Výše ​​každé odměny dosud nebyla stanovena.

Zdroj: opennet.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster