Google har udgivet version 142 af Chrome-webbrowseren. En stabil udgave af open source-projektet Chromium, fundamentet for Chrome, er også tilgængelig. Chrome adskiller sig fra Chromium ved sin brug af Google-logoer, et system til notifikationer om nedbrud, moduler til afspilning af kopibeskyttet videoindhold (DRM), automatisk installation af opdateringer, isolering af altid-på-sandkasser, klargøring af Google API-nøgler og videregivelse af RLZ-parametre under søgning. For dem, der har brug for mere tid til at opdatere, vedligeholdes en separat udvidet stabil gren i otte uger. Den næste udgivelse, Chrome 143, er planlagt til den 2. december.
Vigtigste ændringer i Chrome 142:
- Beskyttelse mod adgang til det lokale system ved interaktion med offentlige websteder er aktiveret. Når du tilgår et websted på et offentligt eller internt netværk (intranet), IP-adresser Når der tilgås det lokale system eller loopback-grænsefladen (127.0.0.0/8), viser browseren en dialogboks, der anmoder brugeren om bekræftelse. Forsøg på at downloade ressourcer, fetch()-anmodninger og iframe-indsættelser er dækket. Beskyttelse anvendes i øjeblikket ikke på forbindelser via WebSockets, WebTransport og WebRTC, men vil blive tilføjet til disse teknologier senere.
Angribere udnytter adgang til interne ressourcer til at udføre CSRF-angreb på routere, adgangspunkter, printere, virksomhedens webgrænseflader og andre enheder og tjenester, der kun accepterer anmodninger fra det lokale netværk. Derudover kan scanning af interne ressourcer bruges til indirekte identifikation eller til at indsamle oplysninger om det lokale netværk.
- Der er introduceret en enkelt, forenklet brugerflade til at linke til en Google-konto og synkronisere data, f.eks. gemte adgangskoder og bogmærker. Synkronisering er integreret med kontologin og præsenteres ikke som en separat mulighed i indstillingerne. Brugere kan forbinde Chrome til deres Google-konto og bruge den til at gemme adgangskoder, bogmærker, browserhistorik og faner. Denne funktion er i øjeblikket aktiv for nogle brugere og vil gradvist blive udvidet.
- En ny procesisoleringsmodel anvendes - "Origin Isolation", hvor hver indholdskilde (origin - en protokolbinding, domæne og port, for eksempel "https://foo.example.com"), isoleres i en separat renderingsproces. Da øget isoleringsgranularitet kan føre til øget hukommelsesforbrug og CPU-belastning, er den nye isoleringstilstand kun aktiveret på systemer med mere end 4 GB RAM. På hardware med lavt strømforbrug vil den gamle isoleringsmetode fortsat blive brugt, som isolerer alle forskellige indholdskilder, der er knyttet til et enkelt websted (for eksempel foo.example.com og bar.example.com) i en separat proces.
- На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- I versionen til Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Implementeringen af DTLS-protokollen (Datagram Transport Layer Security, en TLS-analog til UDP), der bruges til WebRTC-forbindelser, inkluderer brugen af post-kvantekrypteringsalgoritmer.
- Aktiveringsstatus, der blev indstillet under brugeraktivitet på en side, bevares nu efter navigation til en anden side på samme domæne. Bevaring af aktivering vil forenkle udviklingen af webapplikationer med flere sider og løse problemer som f.eks. at indstille inputfokus, når webstedet viser sit virtuelle tastatur.
- CSS-pseudoklasserne ":target-before" og ":target-after" er blevet tilføjet for at definere de forrige og næste markører i forhold til den aktuelle rulleposition (":target-current").
- Stilbeholdere (@container) og if()-funktionen understøtter nu den intervalsyntaks, der er defineret i Media Queries Level 4-specifikationen, som tillader brugen af standard matematiske sammenligningsoperatorer og logiske operatorer til at definere værdiintervaller. For eksempel kan du nu angive "@container style(—inner-padding > 1em)" og "background-color: if(style(attr(data-columns, type ) > 2): lyseblå; ellers: hvid);"
- Elementerne " " og " " understøtter nu attributten "interestfor". Denne attribut kan bruges til at udløse handlinger, f.eks. visning af en pop op-vindue, når brugeren viser interesse for elementet. Browseren genkender hændelser som at holde markøren over elementet, trykke på genvejstaster eller holde et tryk på en berøringsskærm nede som indikatorer for interesse. Når et element med attributten "interestfor" identificeres, genererer browseren en InterestEvent.
- Der er foretaget forbedringer af webudviklerværktøjerne. En hurtigstartknap til AI-assistenten er blevet tilføjet i øverste højre hjørne. Kontekstmenupunktet "Spørg AI" er blevet omdøbt til "Fejlfinding med AI" og udvidet til at omfatte muligheden for at udføre øjeblikkelige handlinger afhængigt af kontekst. I webkonsollen og kodepanelet kan Gemini AI-assistenten nu generere anbefalinger med kode.
Webudviklerværktøjer integreres nu med Google Developer Program (GDP). Udviklere kan nu få adgang til deres GDP-profil direkte fra Chrome DevTools og optjene belønninger for at udføre specifikke opgaver i denne brugerflade.
Ud over nye funktioner og fejlrettelser adresserer den nye version 20 sårbarheder. Mange af sårbarhederne blev identificeret gennem automatiseret testning ved hjælp af AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL. Der blev ikke identificeret kritiske problemer, der kunne tillade omgåelse af alle lag af browserbeskyttelse og udførelse af kode uden for sandbox-miljøet. Som en del af sårbarhedsbounty-programmet for den nuværende udgivelse har Google etableret 20 dusører på i alt $130.000 (to dusører på $50.000, en dusør på $10000, tre dusører på $3000, to dusører på $2000 og tre dusører på $1000). Størrelsen af otte af dusørerne er endnu ikke fastsat.
Derudover er der identificeret en uopdateret sårbarhed i Blink-motoren, som får browseren til at gå ned og fryse, når der udføres bestemt JavaScript-kode. Sårbarheden skyldes arkitektoniske problemer i renderingmotoren, der er relateret til manglen på en hastighedsgrænse for opdatering af egenskaben "document.title". Denne mangel på begrænsning gør det muligt at bruge "document.title" til at foretage titusindvis af ændringer i DOM'en pr. sekund. Dette får brugerfladen til at fryse inden for få sekunder på grund af blokering af hovedtråden og et betydeligt hukommelsesforbrug. Efter 15-60 sekunder går browseren ned.
Kilde: opennet.ru
