ProHoster > Blog > Internetnachrichten > Chrome-Version 102

Chrome-Version 102

Google hat die Veröffentlichung des Webbrowsers Chrome 102 vorgestellt. Gleichzeitig ist eine stabile Version des kostenlosen Chromium-Projekts verfügbar, das als Basis von Chrome dient. Der Chrome-Browser unterscheidet sich von Chromium durch die Verwendung von Google-Logos, das Vorhandensein eines Systems zum Versenden von Benachrichtigungen im Falle eines Absturzes, Module zum Abspielen kopiergeschützter Videoinhalte (DRM), ein System zur automatischen Installation von Updates und die dauerhafte Aktivierung der Sandbox-Isolation , Bereitstellung von Schlüsseln für die Google-API und Übertragung von RLZ-Parametern bei der Suche. Für diejenigen, die mehr Zeit für die Aktualisierung benötigen, wird der Extended Stable-Zweig separat unterstützt, gefolgt von 8 Wochen. Die nächste Veröffentlichung von Chrome 103 ist für den 21. Juni geplant.

Wichtige Änderungen in Chrome 102:

  • Um die Ausnutzung von Schwachstellen zu blockieren, die durch den Zugriff auf bereits freigegebene Speicherblöcke (use-after-free) verursacht werden, wurde anstelle gewöhnlicher Zeiger der Typ MiraclePtr (raw_ptr) verwendet. MiraclePtr bietet eine Bindung über Zeiger, die zusätzliche Prüfungen bei Zugriffen auf freigegebene Speicherbereiche durchführt und abstürzt, wenn solche Zugriffe erkannt werden. Die Auswirkungen der neuen Schutzmethode auf Leistung und Speicherverbrauch werden als vernachlässigbar eingeschätzt. Der MiraclePtr-Mechanismus ist nicht in allen Prozessen anwendbar, insbesondere wird er nicht in Rendering-Prozessen verwendet, kann aber die Sicherheit erheblich verbessern. Beispielsweise wurden in der aktuellen Version von 32 behobenen Schwachstellen 12 durch Use-After-Free-Probleme verursacht.
  • Das Design der Oberfläche mit Informationen zu Downloads wurde geändert. Anstelle der unteren Zeile mit Daten zum Download-Fortschritt wurde dem Panel mit der Adressleiste ein neuer Indikator hinzugefügt. Wenn Sie darauf klicken, werden der Fortschritt des Herunterladens von Dateien und ein Verlauf mit einer Liste bereits heruntergeladener Dateien angezeigt. Im Gegensatz zum unteren Bereich wird die Schaltfläche ständig im Bereich angezeigt und ermöglicht Ihnen den schnellen Zugriff auf Ihren Download-Verlauf. Die neue Oberfläche wird derzeit standardmäßig nur einigen Benutzern angeboten und wird auf alle ausgeweitet, wenn keine Probleme auftreten. Um die alte Schnittstelle zurückzugeben oder eine neue zu aktivieren, steht die Einstellung „chrome://flags#download-bubble“ zur Verfügung.
    Chrome-Version 102
  • Bei der Suche nach Bildern über das Kontextmenü („Bild mit Google Lens suchen“ oder „Über Google Lens suchen“) werden die Ergebnisse nun nicht mehr auf einer separaten Seite, sondern in einer Seitenleiste neben dem Inhalt der Originalseite angezeigt (in In einem Fenster können Sie gleichzeitig den Seiteninhalt und das Ergebnis des Zugriffs auf die Suchmaschine sehen.
    Chrome-Version 102
  • Im Abschnitt „Datenschutz und Sicherheit“ der Einstellungen wurde ein Abschnitt „Datenschutzleitfaden“ hinzugefügt, der einen allgemeinen Überblick über die wichtigsten Einstellungen, die sich auf den Datenschutz auswirken, mit detaillierten Erläuterungen zu den Auswirkungen der einzelnen Einstellungen bietet. In diesem Abschnitt können Sie beispielsweise die Richtlinie zum Senden von Daten an Google-Dienste definieren, die Synchronisierung, die Cookie-Verarbeitung und die Verlaufsspeicherung verwalten. Die Funktion wird einigen Nutzern angeboten; zur Aktivierung können Sie die Einstellung „chrome://flags#privacy-guide“ nutzen.
    Chrome-Version 102
  • Es wird eine Strukturierung des Suchverlaufs und der angezeigten Seiten bereitgestellt. Wenn Sie die Suche erneut versuchen, wird in der Adressleiste der Hinweis „Reise fortsetzen“ angezeigt, sodass Sie die Suche an der Stelle fortsetzen können, an der sie das letzte Mal unterbrochen wurde.
    Chrome-Version 102
  • Der Chrome Web Store bietet eine „Extensions Starter Kit“-Seite mit einer ersten Auswahl empfohlener Add-ons.
  • Im Testmodus ist das Senden einer CORS-Autorisierungsanfrage (Cross-Origin Resource Sharing) an den Hauptstandortserver mit dem Header „Access-Control-Request-Private-Network: true“ aktiviert, wenn die Seite auf eine Ressource im internen Netzwerk zugreift ( 192.168.xx, 10.xxx, 172.16.xx) oder an localhost (128.xxx). Bei der Bestätigung des Vorgangs als Antwort auf diese Anfrage muss der Server den Header „Access-Control-Allow-Private-Network: true“ zurückgeben. In der Chrome-Version 102 hat das Bestätigungsergebnis noch keinen Einfluss auf die Verarbeitung der Anfrage. Erfolgt keine Bestätigung, wird eine Warnung in der Webkonsole angezeigt, die Subressourcenanfrage selbst wird jedoch nicht blockiert. Die Aktivierung der Blockierung bei fehlender Bestätigung vom Server wird voraussichtlich erst mit der Veröffentlichung von Chrome 105 erfolgen. Um die Blockierung in früheren Versionen zu aktivieren, können Sie die Einstellung „chrome://flags/#private-network-access-respect-preflight-“ aktivieren. Ergebnisse".

    Die Überprüfung der Autorität durch den Server wurde eingeführt, um den Schutz vor Angriffen im Zusammenhang mit dem Zugriff auf Ressourcen im lokalen Netzwerk oder auf dem Computer des Benutzers (localhost) durch Skripte zu erhöhen, die beim Öffnen einer Site geladen werden. Solche Anfragen werden von Angreifern verwendet, um CSRF-Angriffe auf Router, Zugangspunkte, Drucker, Unternehmens-Webschnittstellen und andere Geräte und Dienste durchzuführen, die Anfragen nur aus dem lokalen Netzwerk akzeptieren. Um sich vor solchen Angriffen zu schützen, sendet der Browser beim Zugriff auf Unterressourcen im internen Netzwerk eine explizite Anfrage um Erlaubnis zum Laden dieser Unterressourcen.

  • Beim Öffnen von Links im Inkognito-Modus über das Kontextmenü werden einige Parameter, die sich auf den Datenschutz auswirken, automatisch aus der URL entfernt.
  • Die Update-Übermittlungsstrategie für Windows und Android wurde geändert. Um das Verhalten der neuen und alten Versionen besser vergleichen zu können, werden jetzt mehrere Builds der neuen Version zum Herunterladen generiert.
  • Die Netzwerksegmentierungstechnologie wurde stabilisiert, um vor Methoden zur Verfolgung von Benutzerbewegungen zwischen Websites zu schützen, die auf der Speicherung von Identifikatoren in Bereichen basieren, die nicht für die dauerhafte Speicherung von Informationen vorgesehen sind („Supercookies“). Da zwischengespeicherte Ressourcen unabhängig von der Ursprungsdomäne in einem gemeinsamen Namespace gespeichert werden, kann eine Site feststellen, dass eine andere Site Ressourcen lädt, indem sie prüft, ob sich diese Ressource im Cache befindet. Der Schutz basiert auf der Verwendung von Netzwerksegmentierung (Netzwerkpartitionierung), deren Kern darin besteht, gemeinsam genutzten Caches eine zusätzliche Bindung von Datensätzen an die Domäne hinzuzufügen, von der aus die Hauptseite geöffnet wird, wodurch die Cache-Abdeckung nur für Bewegungsverfolgungsskripte begrenzt wird zur aktuellen Site (ein Skript von einem Iframe kann nicht überprüfen, ob die Ressource von einer anderen Site heruntergeladen wurde). Die Statusfreigabe umfasst Netzwerkverbindungen (HTTP/1, HTTP/2, HTTP/3, Websocket), DNS-Cache, ALPN/HTTP2, TLS/HTTP3-Daten, Konfiguration, Downloads und Expect-CT-Header-Informationen.
  • Bei installierten eigenständigen Webanwendungen (PWA, Progressive Web App) besteht die Möglichkeit, das Design des Fenstertitelbereichs mithilfe der Window Controls Overlay-Komponenten zu ändern, die den Bildschirmbereich der Webanwendung auf das gesamte Fenster erweitern. Eine Webanwendung kann das Rendering und die Eingabeverarbeitung des gesamten Fensters steuern, mit Ausnahme des Overlay-Blocks mit Standard-Fenstersteuerungsschaltflächen (Schließen, Minimieren, Maximieren), um der Webanwendung das Aussehen einer normalen Desktop-Anwendung zu verleihen.
    Chrome-Version 102
  • Im System zum automatischen Ausfüllen von Formularen wurde die Unterstützung für die Generierung virtueller Kreditkartennummern in Feldern mit Zahlungsdetails für Waren in Online-Shops hinzugefügt. Durch die Verwendung einer virtuellen Karte, deren Nummer bei jeder Zahlung generiert wird, können Sie keine Daten einer echten Kreditkarte übertragen, sondern erfordern die Bereitstellung der erforderlichen Dienstleistung durch die Bank. Die Funktion steht derzeit nur US-Bankkunden zur Verfügung. Um die Einbindung der Funktion zu steuern, wird die Einstellung „chrome://flags/#autofill-enable-virtual-card“ vorgeschlagen.
  • Der „Capture Handle“-Mechanismus ist standardmäßig aktiviert und ermöglicht Ihnen die Übertragung von Informationen an Anwendungen, die Videos aufnehmen. Die API ermöglicht es, die Interaktion zwischen Anwendungen, deren Inhalte aufgezeichnet werden, und Anwendungen, die die Aufzeichnung durchführen, zu organisieren. Beispielsweise kann eine Videokonferenzanwendung, die Videos aufzeichnet, um eine Präsentation zu übertragen, Informationen über die Präsentationssteuerelemente abrufen und diese im Videofenster anzeigen.
  • Die Unterstützung spekulativer Regeln ist standardmäßig aktiviert und bietet eine flexible Syntax zur Bestimmung, ob linkbezogene Daten proaktiv geladen werden können, bevor der Benutzer auf den Link klickt.
  • Der Mechanismus zum Packen von Ressourcen in Pakete im Web Bundle-Format wurde stabilisiert, wodurch die Effizienz beim Laden einer großen Anzahl begleitender Dateien (CSS-Stile, JavaScript, Bilder, Iframes) erhöht werden kann. Im Gegensatz zu Paketen im Webpack-Format bietet das Web Bundle-Format folgende Vorteile: Im HTTP-Cache wird nicht das Paket selbst gespeichert, sondern seine Bestandteile; Die Kompilierung und Ausführung von JavaScript beginnt, ohne auf den vollständigen Download des Pakets warten zu müssen. Es ist erlaubt, zusätzliche Ressourcen wie CSS und Bilder einzubinden, die im Webpack in Form von JavaScript-Strings kodiert werden müssten.
  • Es ist möglich, eine PWA-Anwendung als Handler für bestimmte MIME-Typen und Dateierweiterungen zu definieren. Nach der Definition einer Bindung über das Feld „file_handlers“ im Manifest erhält die Anwendung ein besonderes Ereignis, wenn der Benutzer versucht, eine mit der Anwendung verknüpfte Datei zu öffnen.
  • Ein neues inertes Attribut hinzugefügt, mit dem Sie einen Teil des DOM-Baums als „inaktiv“ markieren können. Für DOM-Knoten in diesem Zustand sind die Textauswahl- und Zeiger-Hover-Handler deaktiviert, d. h. Die CSS-Eigenschaften „pointer-events“ und „user-select“ sind immer auf „none“ gesetzt. Wenn ein Knoten bearbeitet werden konnte, kann er im Inertmodus nicht mehr bearbeitet werden.
  • Die Navigations-API wurde hinzugefügt, die es Webanwendungen ermöglicht, Fensternavigationsvorgänge abzufangen, die Navigation zu initiieren und den Verlauf der Aktionen mit der Anwendung zu analysieren. Die API bietet eine Alternative zu den Eigenschaften window.history und window.location, optimiert für Single-Page-Webanwendungen.
  • Für das Attribut „hidden“ wurde ein neues Flag „until-found“ vorgeschlagen, das das Element auf der Seite durchsuchbar und per Textmaske scrollbar macht. Sie können beispielsweise einer Seite versteckten Text hinzufügen, dessen Inhalte bei lokalen Suchen gefunden werden.
  • In der WebHID-API, die für den Low-Level-Zugriff auf HID-Geräte (Human-Interface-Geräte, Tastaturen, Mäuse, Gamepads, Touchpads) und die Arbeitsorganisation ohne das Vorhandensein bestimmter Treiber im System konzipiert ist, wurde die Eigenschaft „exclusionFilters“ zum requestDevice( hinzugefügt. )-Objekt, mit dem Sie bestimmte Geräte ausschließen können, wenn der Browser eine Liste der verfügbaren Geräte anzeigt. Sie können beispielsweise Geräte-IDs ausschließen, bei denen bekannte Probleme auftreten.
  • Es ist verboten, ein Zahlungsformular durch einen Aufruf von PaymentRequest.show() ohne eine explizite Benutzeraktion anzuzeigen, beispielsweise durch Klicken auf ein mit dem Handler verknüpftes Element.
  • Die Unterstützung für eine alternative Implementierung des SDP-Protokolls (Session Description Protocol), das zum Einrichten einer Sitzung in WebRTC verwendet wird, wurde eingestellt. Chrome bot zwei SDP-Optionen – vereinheitlicht mit anderen Browsern und Chrome-spezifisch. Von nun an bleibt nur noch die tragbare Option übrig.
  • Es wurden Verbesserungen an den Tools für Webentwickler vorgenommen. Dem Bedienfeld „Stile“ wurden Schaltflächen hinzugefügt, um die Verwendung eines dunklen und hellen Themas zu simulieren. Der Schutz der Registerkarte „Vorschau“ im Netzwerkinspektionsmodus wurde verstärkt (die Anwendung der Inhaltssicherheitsrichtlinie ist aktiviert). Der Debugger implementiert die Skriptbeendigung, um Haltepunkte neu zu laden. Es wurde eine vorläufige Implementierung des neuen Panels „Performance Insights“ vorgeschlagen, mit dem Sie die Leistung bestimmter Vorgänge auf der Seite analysieren können.
    Chrome-Version 102

Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 32 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Einem der Probleme (CVE-2022-1853) wurde eine kritische Gefahrenstufe zugewiesen, was die Fähigkeit impliziert, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Einzelheiten zu dieser Sicherheitslücke wurden noch nicht bekannt gegeben; es ist lediglich bekannt, dass sie durch den Zugriff auf einen freigegebenen Speicherblock (Use-after-free) in der Indexed DB API-Implementierung verursacht wird.

Im Rahmen des Geldprämienprogramms für die Entdeckung von Schwachstellen für die aktuelle Version zahlte Google 24 Auszeichnungen im Wert von 65600 US-Dollar (eine 10000-Dollar-Auszeichnung, eine 7500-Dollar-Auszeichnung, zwei 7000-Dollar-Auszeichnungen, drei 5000-Dollar-Auszeichnungen, vier 3000-Dollar-Auszeichnungen, zwei 2000-Dollar-Auszeichnungen, zwei 1000-Dollar-Auszeichnungen und zwei). 500 $ Boni). Die Höhe der 7 Belohnungen steht noch nicht fest.

Source: opennet.ru

Kommentar hinzufügen