Η Google κυκλοφόρησε την έκδοση 141 του προγράμματος περιήγησης ιστού Chrome. Είναι επίσης διαθέσιμη μια σταθερή έκδοση του έργου Chromium ανοιχτού κώδικα, του οποίου η βάση είναι το Chrome. Το Chrome διαφέρει από το Chromium στη χρήση των λογότυπων της Google, σε ένα σύστημα ειδοποίησης σφαλμάτων, σε ενότητες για την αναπαραγωγή περιεχομένου βίντεο με προστασία αντιγραφής (DRM), στην αυτόματη εγκατάσταση ενημερώσεων, στην πάντα ενεργή απομόνωση sandbox, στην παροχή κλειδιών API της Google και στη διαβίβαση παραμέτρων RLZ κατά την αναζήτηση. Για όσους χρειάζονται περισσότερο χρόνο για ενημέρωση, διατηρείται ένας ξεχωριστός κλάδος Extended Stable για οκτώ εβδομάδες. Η επόμενη έκδοση, Chrome 142, έχει προγραμματιστεί για τις 28 Οκτωβρίου.
Βασικές αλλαγές στο Chrome 141:
- Για ορισμένους χρήστες, έχει ενεργοποιηθεί το ενσωματωμένο στο πρόγραμμα περιήγησης chatbot Gemini. Μπορεί να εξηγήσει το περιεχόμενο της σελίδας που προβάλλεται και να απαντήσει σε ερωτήσεις σχετικές με τη σελίδα χωρίς να χρειάζεται να μεταβεί από την τρέχουσα καρτέλα. Για την ενεργοποίηση του Gemini, έχει προστεθεί ένα κουμπί στην επάνω δεξιά γωνία της οθόνης. Όταν κάνετε κλικ σε αυτό, εμφανίζεται ένα παράθυρο διαλόγου που επιτρέπει στους χρήστες να υποβάλλουν ερωτήσεις σε φυσική γλώσσα και να επιλέγουν καρτέλες των οποίων το περιεχόμενο θα πρέπει να λάβει υπόψη η τεχνητή νοημοσύνη κατά τη δημιουργία μιας απάντησης. Υποστηρίζεται η επικοινωνία κειμένου και φωνής με το bot. Αυτή η λειτουργία είναι διαθέσιμη σε χρήστες από τις ΗΠΑ που έχουν πρόσβαση στην εφαρμογή Gemini και χρησιμοποιούν τις πλατφόρμες. macOS, iOS και Windows.
- Έχει ενεργοποιηθεί η προστασία από την πρόσβαση στο τοπικό σύστημα (loopback, 127.0.0.0/8) ή στο εσωτερικό δίκτυο (192.168.0.0/16, 10.0.0.0/8, κ.λπ.) κατά την αλληλεπίδραση με δημόσιους ιστότοπους. Κατά την προσπάθεια φόρτωσης εσωτερικών πόρων, το πρόγραμμα περιήγησης θα εμφανίζει πλέον ένα παράθυρο διαλόγου που ζητά επιβεβαίωση. Η πρόσβαση σε εσωτερικούς πόρους χρησιμοποιείται από τους εισβολείς για την εκτέλεση επιθέσεων CSRF σε δρομολογητές, σημεία πρόσβασης, εκτυπωτές, εταιρικές διεπαφές ιστού και άλλες συσκευές και υπηρεσίες που δέχονται αιτήματα μόνο από το τοπικό δίκτυο. Επιπλέον, η σάρωση εσωτερικών πόρων μπορεί να χρησιμοποιηθεί για έμμεση αναγνώριση ή για τη συλλογή πληροφοριών σχετικά με το τοπικό δίκτυο.
- Η μετάβαση σε ένα πιο λεπτομερές μοντέλο απομόνωσης διεργασιών, την «Απομόνωση Προέλευσης», έχει ξεκινήσει, στο οποίο κάθε πηγή περιεχομένου (προέλευση είναι μια σύνδεση πρωτοκόλλου, τομέα και η θύρα, για παράδειγμα, "https://foo.example.com"), απομονώνονται σε ξεχωριστή διαδικασία απόδοσης. Δεδομένου ότι η αύξηση της λεπτομέρειας της απομόνωσης μπορεί να οδηγήσει σε αυξημένη κατανάλωση μνήμης και φόρτο CPU, η νέα λειτουργία απομόνωσης είναι ενεργοποιημένη μόνο σε συστήματα με περισσότερα από 4 GB RAM. Σε υλικό χαμηλής κατανάλωσης, θα συνεχίσει να χρησιμοποιείται η παλιά προσέγγιση απομόνωσης, η οποία απομονώνει όλες τις διαφορετικές πηγές περιεχομένου που σχετίζονται με έναν μόνο ιστότοπο (για παράδειγμα, foo.example.com και bar.example.com) σε ξεχωριστή διαδικασία. Αυτή η λειτουργία είναι προς το παρόν ενεργοποιημένη για ορισμένους χρήστες και θα επεκταθεί σταδιακά.
- Η πολιτική "Same Origin" έχει ενεργοποιηθεί για το Storage Access API. Η κλήση του "document.requestStorageAccess()" από κώδικα που φορτώνεται μέσω ενός iframe από άλλον ιστότοπο θα στοχεύει πλέον, από προεπιλογή, μόνο τον ιστότοπο από τον οποίο φορτώνεται το iframe και όχι τον ιστότοπο που φιλοξενεί το iframe.
- Προστέθηκαν ευρετικές μέθοδοι για την ανίχνευση παρεμπόδισης από την πλευρά του πελάτη ή ανακατεύθυνσης σε εξωτερικούς ιστότοπους ερωτημάτων αναζήτησης που εισάγονται στη γραμμή διευθύνσεων ή στη σελίδα που εμφανίζεται κατά το άνοιγμα μιας νέας καρτέλας. Αυτός ο τύπος παρεμπόδισης χρησιμοποιείται από ορισμένα κακόβουλα πρόσθετα. Ο έλεγχος εκτελείται συγκρίνοντας τα ερωτήματα που εισάγει ο χρήστης με τη σελίδα αποτελεσμάτων αναζήτησης που εμφανίζεται. Εάν εντοπιστεί αντικατάσταση στη λειτουργία Ασφαλούς περιήγησης, διακομιστή Τα δεδομένα τηλεμετρίας αποστέλλονται στην Google για πιο λεπτομερή ανάλυση, λαμβάνοντας υπόψη τα δεδομένα τηλεμετρίας από διαφορετικούς χρήστες.
- Στη σελίδα νέας καρτέλας, το κάτω πλαίσιο που εμφανίζει πληροφορίες σχετικά με τα πρόσθετα που επηρεάζουν το περιεχόμενο της σελίδας νέας καρτέλας εμφανίζει πλέον πληροφορίες σχετικά με τη συσκευή που διαχειρίζεται κεντρικά.
- Σε συστήματα με προφίλ χρηστών συνδεδεμένα με παρόχους ελέγχου ταυτότητας τρίτων, έχει υλοποιηθεί η δυνατότητα εκτέλεσης εντολών απομακρυσμένης διαχείρισης, όπως η εκκαθάριση της προσωρινής μνήμης ή των cookies.
- Το API IndexedDB υλοποιεί τη μέθοδο getAllRecords(), η οποία ανακτά όλες τις εγγραφές από ένα χώρο αποθήκευσης αντικειμένων (IDBObjectStore) και ένα ευρετήριο (IDBIndex). Η getAllRecords() συνδυάζει τη λειτουργικότητα των getAllKeys() και getAll() για την ανάκτηση τόσο των πρωτευόντων κλειδιών όσο και των σχετικών τιμών τους. Οι μέθοδοι getAll() και getAllKeys() περιλαμβάνουν πλέον μια παράμετρο "κατεύθυνσης" για τον καθορισμό της κατεύθυνσης ανάκτησης δεδομένων, η οποία μπορεί να επιταχύνει ορισμένες λειτουργίες ανάγνωσης σε σύγκριση με τη χρήση δρομέων.
- Προστέθηκε το API "WebRTC Encoded Transform" για την επεξεργασία κωδικοποιημένων δεδομένων πολυμέσων που μεταδίδονται μέσω RTCPeerConnection.
- Προστέθηκε υποστήριξη για τα χαρακτηριστικά "πλάτος" και "ύψος" για ένθετα στοιχεία , το μέγεθος του οποίου μπορεί να ελεγχθεί μέσω σήμανσης CSS ή SVG.
- Έχουν γίνει βελτιώσεις στα εργαλεία ανάπτυξης ιστοσελίδων. Έχει προστεθεί ένας πειραματικός διακομιστής MCP (Model Context Protocol), ο οποίος επιτρέπει σε εξωτερικούς βοηθούς τεχνητής νοημοσύνης να έχουν πρόσβαση στις δυνατότητες του Chrome DevTools.
Κατά τη στιγμή της σύνταξης αυτού του κειμένου, δεν υπήρχαν πληροφορίες σχετικά με τα διορθωμένα τρωτά σημεία στην ανακοίνωση ή στο πρόγραμμα παρακολούθησης αλλαγών.
Ενημέρωση: Μία ημέρα μετά την κυκλοφορία, αποκαλύφθηκαν πληροφορίες σχετικά με τα διορθωμένα τρωτά σημεία. Το Chrome 141 διορθώνει 21 τρωτά σημεία. Πολλά από τα τρωτά σημεία εντοπίστηκαν μέσω αυτοματοποιημένων δοκιμών χρησιμοποιώντας τα AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer και AFL. Δεν εντοπίστηκαν κρίσιμα ζητήματα που θα μπορούσαν να επιτρέψουν την παράκαμψη όλων των επιπέδων προστασίας του προγράμματος περιήγησης και την εκτέλεση κώδικα εκτός του περιβάλλοντος sandbox. Στο πλαίσιο του προγράμματος αμοιβής για τρωτά σημεία για την τρέχουσα έκδοση, η Google έχει απονείμει 12 αμοιβές συνολικού ύψους 50 δολαρίων (ένα αμοιβή 25000 δολαρίων, 5000 δολαρίων, 4000 δολαρίων και 2000 δολαρίων για κάθε αμοιβή, τέσσερα αμοιβή 3000 δολαρίων και δύο αμοιβές 1000 δολαρίων). Το ποσό κάθε αμοιβής δεν έχει ακόμη καθοριστεί.
Πηγή: opennet.ru
