Release von Chrome 102

Google hat die Version 102 des Webbrowsers Chrome veröffentlicht. Gleichzeitig steht die stabile Version des Open-Source-Projekts Chromium zur Verfügung, auf dem Chrome basiert. Der Chrome-Browser unterscheidet sich von Chromium durch die Verwendung von Google-Logos, ein System zur Benachrichtigung im Falle eines Absturzes, Module zur Wiedergabe von kopiergeschütztem Videoinhalt (DRM), ein automatisches Update-System, die ständige Aktivierung von Sandbox-Isolation, die Bereitstellung von Schlüsseln für die Google-API und die Übertragung von RLZ-Parametern bei der Suche. Für diejenigen, die mehr Zeit für Updates benötigen, wird ein separater Extended Stable-Zweig unterstützt, der über einen Zeitraum von 8 Wochen gepflegt wird. Die nächste Version von Chrome 103 ist für den 21. Juni geplant.

Die wichtigsten Änderungen in Chrome 102:

  • Um die Ausnutzung von Schwachstellen zu verhindern, die durch den Zugriff auf bereits freigegebene Speicherblöcke (use-after-free) entstehen, wird anstelle von herkömmlichen Zeigern der MiraclePtr-Typ (raw_ptr) verwendet. MiraclePtr stellt eine Wrapper-Lösung für Zeiger bereit, die zusätzliche Überprüfungen beim Zugriff auf freigegebene Speicherbereiche durchführt und im Falle von solchen Zugriffen eine sofortige Beendigung der Anwendung auslöst. Die Auswirkungen der neuen Schutzmethode auf die Leistung und den Speicherverbrauch werden als gering bewertet. Der MiraclePtr-Mechanismus ist nicht in allen Prozessen anwendbar, insbesondere nicht in Rendering-Prozessen, kann aber die Sicherheit erheblich erhöhen. Beispielsweise waren in der aktuellen Version von 32 behobenen Schwachstellen 12 auf Probleme der Kategorie use-after-free zurückzuführen.
  • Die Benutzeroberfläche für den Download-Status wurde aktualisiert. Anstelle der unteren Leiste mit den Fortschrittsdaten wurde ein neuer Indikator in der Adressleiste hinzugefügt. Wenn Sie darauf klicken, wird der Fortschritt der Datei-Uploads sowie eine Historie der bereits heruntergeladenen Dateien angezeigt. Im Unterschied zur unteren Leiste bleibt die Schaltfläche dauerhaft sichtbar und ermöglicht einen schnellen Zugriff auf die Download-Historie. Die neue Benutzeroberfläche wird bisher nur einigen Nutzern standardmäßig angeboten und soll bei entsprechender Stabilität auf alle ausgeweitet werden. Um zur alten Benutzeroberfläche zurückzukehren oder die neue zu aktivieren, steht die Einstellung „chrome://flags#download-bubble“ zur Verfügung.
    Release von Chrome 102
  • Bei der Bildersuche über das Kontextmenü („Bild mit Google Lens suchen“ oder „Durch Google Lens finden“) werden die Ergebnisse jetzt nicht mehr auf einer separaten Seite angezeigt, sondern in einer Seitenleiste neben dem Inhalt der ursprünglichen Seite (in einem Fenster können Sie gleichzeitig den Seiteninhalt und die Ergebnisse der Suchanfrage sehen).
    Release von Chrome 102
  • In den Einstellungen im Bereich „Datenschutz und Sicherheit“ wurde ein Abschnitt „Datenschutzleitfaden“ hinzugefügt, der einen allgemeinen Überblick über die wichtigsten Einstellungen bietet, die die Privatsphäre beeinflussen, mit detaillierten Erklärungen zu den Auswirkungen jeder Einstellung. Zum Beispiel kann in diesem Abschnitt die Richtlinie für die Datenübertragung an Google-Dienste festgelegt, die Synchronisierung verwaltet und Cookies sowie der Verlauf gespeichert werden. Diese Funktion steht einem Teil der Nutzer zur Verfügung und kann über die Einstellung „chrome://flags#privacy-guide“ aktiviert werden.
    Release von Chrome 102
  • Die Suchhistorie und die angesehenen Seiten sind nun strukturiert. Wenn Sie versuchen, in der Adresszeile erneut zu suchen, erscheint der Hinweis „Suche in der Historie fortsetzen“, der es Ihnen ermöglicht, an der Stelle fortzufahren, an der Sie beim letzten Mal unterbrochen haben.
    Release von Chrome 102
  • Im Chrome Web Store wurde die Seite „Extensions Starter Kit“ mit einer ersten Auswahl empfohlener Erweiterungen angeboten.
  • Im Testmodus wurde die Anfrage zur Bestätigung der CORS-Berechtigung (Cross-Origin Resource Sharing) an den Hauptserver mit dem Header „Access-Control-Request-Private-Network: true“ aktiviert, wenn von einer Seite auf eine Ressource im internen Netzwerk (192.168.x.x, 10.x.x.x, 172.16.x.x) oder auf localhost (128.x.x.x) zugegriffen wird. Bei einer Bestätigung der Aktion muss der Server auf diese Anfrage den Header „Access-Control-Allow-Private-Network: true“ zurückgeben. In der Version Chrome 102 beeinflusst das Ergebnis der Bestätigung noch nicht die Verarbeitung der Anfrage – bei fehlender Bestätigung wird in der Web-Konsole eine Warnung angezeigt, die tatsächliche Anfrage des Subresources wird jedoch nicht blockiert. Die Aktivierung der Blockierung ohne Bestätigung vom Server wird frühestens in der Veröffentlichung von Chrome 105 erwartet. Um die Blockierung in früheren Versionen zu aktivieren, kann die Einstellung „chrome://flags/#private-network-access-respect-preflight-results“ aktiviert werden.

    Berechtigungsbestätigung dem Server durch Dieser Schutz wurde eingeführt, um Angriffe zu verhindern, die durch den Zugriff auf Ressourcen im lokalen Netzwerk oder auf den Computer des Nutzers (localhost) aus Skripten, die beim Öffnen der Website geladen werden, verursacht werden. Solche Anfragen werden von Angreifern verwendet, um CSRF-Angriffe auf Router, Access Points, Drucker, Unternehmens-Webschnittstellen und andere Geräte und Dienste durchzuführen, die Anfragen nur aus dem lokalen Netzwerk annehmen. Um sich vor solchen Angriffen zu schützen, wird der Browser bei Anfragen an beliebige Subressourcen im internen Netzwerk eine explizite Authentifizierungsanfrage für diese Subressourcen senden.

  • Beim Öffnen von Links im Inkognito-Modus über das Kontextmenü wird automatisch sichergestellt, dass einige Parameter, die die Privatsphäre betreffen, aus der URL entfernt werden.
  • Die Update-Lieferstrategie für Windows und Android wurde geändert. Zur genaueren Vergleichbarkeit des Verhaltens der neuen und alten Version werden nun mehrere Builds der neuen Version für den Download erstellt.
  • Die Technologie der Netzwerksegmentierung wurde stabilisiert, um vor Methoden zu schützen, die das Tracking von Benutzerbewegungen zwischen Websites basierend auf der Speicherung von Identifikatoren in Bereichen, die nicht für die dauerhafte Speicherung von Informationen vorgesehen sind („Supercookies“), verwenden. Da Ressourcen im Cache im gemeinsamen Namensraum gespeichert werden, unabhängig von der ursprünglichen Domain, kann eine Website feststellen, ob Ressourcen von einer anderen Website geladen werden, indem sie das Vorhandensein dieser Ressource im Cache überprüft. Der Schutz basiert auf der Anwendung von Netzwerkpartitionierung, die darin besteht, dass zusätzliche Bindungen von Einträgen zu gemeinsam genutzten Caches hinzugefügt werden. Domain, von dem die Hauptseite geöffnet wird, wodurch der Cache-Bereich für Tracking-Skripte auf die aktuelle Website beschränkt wird (ein Skript aus einem iframe kann nicht überprüfen, ob die Ressource von einer anderen Website geladen wurde). Der Zustand trennt Netzwerkverbindungen (HTTP/1, HTTP/2, HTTP/3, Websocket), DNS-Cache, ALPN/HTTP2-Daten, TLS/HTTP3, Konfiguration, Ladevorgänge und Informationen im Header Expect-CT.
  • Für installierte isolierte Webanwendungen (PWA, Progressive Web App) besteht die Möglichkeit, das Design des Fensterkopfbereichs mithilfe von Window Controls Overlay-Komponenten zu ändern, die den Anwendungsbereich der Webanwendung auf das gesamte Fenster erweitern. Die Webanwendung kann die Darstellung und die Eingabeverarbeitung im gesamten Fenster steuern, mit Ausnahme des überlagerten Blocks mit den Standardbedienelementen des Fensters (Schließen, Minimieren, Maximieren), um der Webanwendung das Aussehen einer herkömmlichen Desktopanwendung zu verleihen.
    Release von Chrome 102
  • Im Autofill-System für Formulare wurde die Unterstützung zur Generierung virtueller Kreditkartennummern in den Feldern für Zahlungsdetails von Online-Shops hinzugefügt. Die Verwendung einer virtuellen Karte, deren Nummer für jede Zahlung generiert wird, ermöglicht es, die Daten der echten Kreditkarte nicht preiszugeben, erfordert jedoch die Bereitstellung eines entsprechenden Dienstes durch die Bank. Derzeit kann diese Funktion nur von Kunden bestimmter Banken in den USA genutzt werden. Zur Verwaltung der Aktivierung der Funktion wurde die Einstellung „chrome://flags/#autofill-enable-virtual-card“ vorgeschlagen.
  • Der Mechanismus „Capture Handle“ ist standardmäßig aktiviert, was die Übertragung von Informationen an Anwendungen ermöglicht, die Videoaufnahmen durchführen. Die API ermöglicht die Interaktion zwischen den Anwendungen, deren Inhalte aufgezeichnet werden, und den Anwendungen, die die Aufzeichnung durchführen. Zum Beispiel kann eine Anwendung für Videokonferenzen, die Video zur Übertragung einer Präsentation aufnimmt, Informationen über die Steuerungselemente der Präsentation erhalten und diese im Videofenster anzeigen.
  • Die Unterstützung von Spekulationsregeln ist standardmäßig aktiviert, die eine flexible Syntax zur Definition der Möglichkeit der proaktiven Ladeverfahren für verlinkte Daten bieten, die vor dem Benutzerübergang auf den Link ausgeführt werden.
  • Der Mechanismus zur Paketierung von Ressourcen im Web Bundle-Format wurde stabilisiert, um die Effizienz beim Laden einer Vielzahl von unterstützenden Dateien (CSS-Stile, JavaScript, Bilder, iframes) zu erhöhen. Im Gegensatz zu Webpack-Paketen hat das Web Bundle-Format folgende Vorteile: Im HTTP-Cache wird nicht das Paket selbst, sondern seine Bestandteile gespeichert; die Kompilierung und Ausführung von JavaScript beginnt, bevor das Paket vollständig geladen ist; es ist möglich, zusätzliche Ressourcen wie CSS und Bilder einzufügen, die in Webpack als JavaScript-Strings kodiert werden mussten.
  • Es wurde die Möglichkeit geschaffen, eine PWA-Anwendung als Handler bestimmter MIME-Typen und Dateierweiterungen zu definieren. Nach der Festlegung der Zuordnung über das Feld file_handlers im Manifest erhält die Anwendung ein spezielles Ereignis, wenn ein Benutzer versucht, eine Datei zu öffnen, die mit der Anwendung assoziiert ist.
  • Ein neues Attribut 'inert' wurde hinzugefügt, das es ermöglicht, Teile des DOM-Baums als "inaktiv" zu kennzeichnen. Für DOM-Knoten in diesem Zustand werden die Textauswahl- und Zeiger-Ereignishandler deaktiviert, d.h. die CSS-Eigenschaften 'pointer-events' und 'user-select' sind immer auf 'none' gesetzt. Wenn der Knoten bearbeitbar war, wird er im Inert-Modus nicht mehr bearbeitbar.
  • Die API Navigation wurde hinzugefügt, die es Webanwendungen ermöglicht, Navigationsoperationen im Fenster abzufangen, Übergänge zu initiieren und die Interaktionshistorie mit der Anwendung zu analysieren. Diese API bietet eine Alternative zu den Eigenschaften 'window.history' und 'window.location', optimiert für Single-Page-Webanwendungen.
  • Für das Attribut 'hidden' wurde ein neuer Flag 'until-found' vorgeschlagen, der das Element für die Suche auf der Seite zugänglich macht und das Scrollen durch eine Textmaske ermöglicht. Zum Beispiel kann versteckter Text auf die Seite hinzugefügt werden, dessen Inhalt bei einer lokalen Suche angezeigt wird.
  • In der WebHID-API, die für den Low-Level-Zugriff auf HID-Geräte (Human Interface Device, Tastaturen, Mäuse, Gamepads, Touchpanels) gedacht ist und das Arbeiten ohne spezifische Treiber im System organisiert, wurde dem Objekt requestDevice() die Eigenschaft exclusionFilters hinzugefügt. Diese ermöglicht es, bestimmte Geräte beim Anzeigen der verfügbaren Geräte im Browser auszuschließen. Beispielsweise können Geräte-IDs ausgeschlossen werden, bei denen bekannte Probleme bestehen.
  • Es ist untersagt, das Zahlungsformular über den Aufruf von PaymentRequest.show() ohne eine ausdrückliche Benutzeraktion anzuzeigen, wie zum Beispiel einen Klick auf ein Element, das mit dem Handler verbunden ist.
  • Die Unterstützung einer alternativen Implementierung des SDP-Protokolls (Session Description Protocol), das für die Einrichtung von Sitzungen in WebRTC verwendet wird, wurde eingestellt. In Chrome wurden zwei Varianten von SDP angeboten – eine einheitliche mit anderen Browsern und eine spezifische für Chrome. Ab sofort bleibt nur die portable Variante erhalten.
  • Verbesserungen der Werkzeuge für Webentwickler wurden vorgenommen. Im Styles-Bereich wurden Schaltflächen hinzugefügt, um eine Simulation von dunklen und hellen Themen anzuwenden. Der Schutz des Tabs 'Vorschau' im Netzwerkinspektor wurde verstärkt (Anwendung der Content Security Policy ist aktiviert). Im Debugger wurde die Funktion zur Beendigung der Skriptausführung zur Neuladevorgang von Haltepunkten implementiert. Eine erste Version des neuen Panels 'Performance Insights' wurde vorgestellt, welches die Analyse der Leistungsfähigkeit bestimmter Operationen auf der Seite ermöglicht.
    Release von Chrome 102

Neben neuen Funktionen und Fehlerbehebungen wurden in der neuen Version 32 Sicherheitsanfälligkeiten beseitigt. Viele der Anfälligkeiten wurden durch automatisierte Tests mit den Werkzeugen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Eine der Probleme (CVE-2022-1853) wurde als kritisch eingestuft, was die Möglichkeit bedeutet, alle Schutzebenen des Browsers zu umgehen und Code außerhalb der Sandbox-Umgebung im System auszuführen. Details zu dieser Sicherheitsanfälligkeit werden derzeit nicht veröffentlicht; bekannt ist nur, dass sie durch den Zugriff auf einen freigegebenen Speicherblock (use-after-free) in der Implementierung der Indexed DB-API verursacht wird.

Im Rahmen des Programms zur Belohnung von Sicherheitsforschern zahlte Google für die aktuelle Version insgesamt 24 Prämien in Höhe von 65.600 US-Dollar (eine Prämie von 10.000 $, eine Prämie von 7.500 $, zwei Prämien von 7.000 $, drei Prämien von 5.000 $, vier Prämien von 3.000 $, zwei Prämien von 2.000 $, zwei Prämien von 1.000 $ und zwei Prämien von 500 $). Die Höhe von 7 Prämien steht noch aus.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster