Společnost Google vydala verzi 142 webového prohlížeče Chrome. K dispozici je také stabilní verze open-source projektu Chromium, který je základem Chromu. Chrome se od Chromia liší používáním log Google, systémem upozorňování na pády, moduly pro přehrávání video obsahu chráněného proti kopírování (DRM), automatickou instalací aktualizací, izolací v sandboxu (always-on sandbox), poskytováním klíčů Google API a předáváním parametrů RLZ během vyhledávání. Pro ty, kteří potřebují více času na aktualizaci, je po dobu osmi týdnů udržována samostatná větev Extended Stable. Další verze, Chrome 143, je naplánována na 2. prosince.
Klíčové změny v Chrome 142:
- Ochrana před přístupem k lokálnímu systému při interakci s veřejnými webovými stránkami je povolena. Při přístupu k webovým stránkám ve veřejné nebo interní síti (intranetu) IP adresy Prohlížeč zobrazí uživateli dialogové okno s žádostí o potvrzení operace při přístupu k lokálnímu systému nebo rozhraní zpětné smyčky (127.0.0.0/8). Pokusy o stažení zdrojů, požadavky fetch() a vkládání prvků iframe podléhají ochraně. Ochrana se v současné době nevztahuje na připojení prostřednictvím WebSockets, WebTransport a WebRTC, ale pro tyto technologie bude přidána později.
Útočníci zneužívají přístup k interním zdrojům k provádění CSRF útoků na routery, přístupové body, tiskárny, firemní webová rozhraní a další zařízení a služby, které přijímají požadavky pouze z lokální sítě. Skenování interních zdrojů lze navíc použít k nepřímé identifikaci nebo ke shromažďování informací o lokální síti.
- Bylo zavedeno jednotné, zjednodušené rozhraní pro propojení s účtem Google a synchronizaci dat, jako jsou uložená hesla a záložky. Synchronizace je integrována s přihlášením k účtu a není v nastavení zobrazena jako samostatná možnost. Uživatelé mohou propojit Chrome se svým účtem Google a používat jej k ukládání hesel, záložek, historie prohlížení a karet. Tato funkce je v současné době aktivní pro některé uživatele a bude postupně rozšiřována.
- Používá se nový model izolace procesů – „Izolace původu“, ve kterém každý zdroj obsahu (původ – vazba protokolu, doména a port, například „https://foo.example.com“), je izolován v samostatném procesu vykreslování. Vzhledem k tomu, že zvýšení granularity izolace může vést ke zvýšené spotřebě paměti a zatížení CPU, je nový režim izolace povolen pouze v systémech s více než 4 GB RAM. Na hardwaru s nízkou spotřebou energie bude i nadále používán starý přístup k izolaci, který izoluje všechny různé zdroje obsahu spojené s jedním webem (například foo.example.com a bar.example.com) v samostatném procesu.
- Na systémech s Windows и macOSU aplikací, které nepoužívají centralizovanou správu Chromu, jsme implementovali automatické zakázání násilně instalovaných doplňků prohlížeče, u kterých bylo zjištěno, že porušují drobné zásady Internetového obchodu Chrome. Mezi drobná porušení patří potenciální zranitelnosti, doplňky instalované formou push bez vědomí uživatele, manipulace s metadaty, porušení zásad pro uživatelská data a zavádějící funkce. Uživatelé mohou zakázané doplňky v případě potřeby obnovit.
- Ve verzi pro AndroidPodobně jako u desktopových verzí bylo implementováno varování před podvodnými stránkami detekovanými rozsáhlým jazykovým modelem založeným na analýze obsahu. V režimu rozšířeného bezpečného prohlížení prohlížeče se používá umělá inteligence. Model umělé inteligence běží na straně klienta, ale pokud je detekován podezřelý pochybný obsah, provede se dodatečná kontrola na serverech Google.
- Implementace protokolu DTLS (Datagram Transport Layer Security, analog TLS pro UDP) používaného pro připojení WebRTC zahrnuje použití postkvantových šifrovacích algoritmů.
- Stav aktivace nastavený během aktivity uživatele na stránce je nyní zachován i po přechodu na jinou stránku ve stejné doméně. Zachování aktivace zjednoduší vývoj vícestránkových webových aplikací a vyřeší problémy, jako je nastavení fokusu vstupu, když web zobrazuje virtuální klávesnici.
- Byly přidány CSS pseudotřídy „:target-before“ a „:target-after“, které definují předchozí a další značky vzhledem k aktuální pozici rolování („:target-current“).
- Kontejnery stylů (@container) a funkce if() nyní podporují syntaxi rozsahu definovanou ve specifikaci Media Queries Level 4, která umožňuje použití standardních matematických porovnávacích operátorů a logických operátorů k definování rozsahů hodnot. Například nyní můžete zadat „@container style(—inner-padding > 1em)“ a „background-color: if(style(attr(data-columns, type ) > 2): světle modrá; jinak: bílá);"
- Prvky „ “ a „ “ nyní podporují atribut „interestfor“. Tento atribut lze použít ke spuštění akcí, jako je zobrazení vyskakovacího okna, když uživatel projeví zájem o prvek. Prohlížeč rozpoznává jako indikátory zájmu události, jako je najetí a podržení kurzoru nad prvkem, stisknutí klávesových zkratek nebo podržení dotyku na dotykové obrazovce. Když je identifikován prvek s atributem „interestfor“, prohlížeč vygeneruje událost InterestEvent.
- Vylepšeny byly nástroje pro webové vývojáře. Do pravého horního rohu bylo přidáno tlačítko pro rychlé spuštění asistenta s umělou inteligencí. Položka kontextové nabídky „Zeptejte se umělé inteligence“ byla přejmenována na „Ladit s umělou inteligencí“ a rozšířena o možnost provádět okamžité akce v závislosti na kontextu. Ve webové konzoli a panelu kódu nyní asistent s umělou inteligencí Gemini může generovat doporučení s kódem.
Nástroje pro webové vývojáře se nyní integrují s programem Google Developer Program (GDP). Vývojáři nyní mohou přistupovat ke svému profilu GDP přímo z Chrome DevTools a získávat odměny za splnění konkrétních úkolů v tomto rozhraní.
Kromě nových funkcí a oprav chyb nová verze řeší 20 zranitelností. Mnoho z těchto zranitelností bylo identifikováno automatizovaným testováním pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Nebyly identifikovány žádné kritické problémy, které by mohly umožnit obejít všechny vrstvy ochrany prohlížeče a spustit kód mimo prostředí sandbox. V rámci programu odměn za zranitelnosti pro aktuální verzi společnost Google stanovila 20 odměn v celkové výši 130 000 USD (dvě odměny po 50 000 USD, jedna odměna 10 000 USD, tři odměny 3 000 USD, dvě odměny 2 000 USD a tři odměny po 1 000 USD). Výše osmi z těchto odměn dosud nebyla stanovena.
Dále byla v enginu Blink identifikována neopravená zranitelnost, která způsobuje pád a zamrzání prohlížeče při spuštění určitého kódu JavaScript. Zranitelnost je způsobena architektonickými problémy v renderovacím enginu souvisejícími s absencí limitu rychlosti aktualizace vlastnosti „document.title“. Tento nedostatek omezení umožňuje použití vlastnosti „document.title“ k provádění desítek milionů změn v DOMu za sekundu. To způsobí, že rozhraní zamrzne během několika sekund kvůli blokování hlavního vlákna a značné spotřebě paměti. Po 15–60 sekundách dochází k pádu prohlížeče.
Zdroj: opennet.ru
