Η Google κυκλοφόρησε την έκδοση 142 του προγράμματος περιήγησης ιστού Chrome. Είναι επίσης διαθέσιμη μια σταθερή έκδοση του έργου Chromium ανοιχτού κώδικα, του οποίου η βάση είναι το Chrome. Το Chrome διαφέρει από το Chromium στη χρήση των λογότυπων της Google, σε ένα σύστημα ειδοποίησης σφαλμάτων, σε ενότητες για την αναπαραγωγή περιεχομένου βίντεο με προστασία αντιγραφής (DRM), στην αυτόματη εγκατάσταση ενημερώσεων, στην πάντα ενεργή απομόνωση sandbox, στην παροχή κλειδιών API της Google και στη διαβίβαση παραμέτρων RLZ κατά την αναζήτηση. Για όσους χρειάζονται περισσότερο χρόνο για ενημέρωση, διατηρείται ένας ξεχωριστός κλάδος Extended Stable για οκτώ εβδομάδες. Η επόμενη έκδοση, Chrome 143, έχει προγραμματιστεί για τις 2 Δεκεμβρίου.
Βασικές αλλαγές στο Chrome 142:
- Ενεργοποιείται η προστασία από την πρόσβαση στο τοπικό σύστημα κατά την αλληλεπίδραση με δημόσιους ιστότοπους. Κατά την πρόσβαση σε έναν ιστότοπο σε δημόσιο ή εσωτερικό δίκτυο (intranet), Διευθύνσεις IP Κατά την πρόσβαση στο τοπικό σύστημα ή στη διεπαφή loopback (127.0.0.0/8), το πρόγραμμα περιήγησης θα εμφανίσει ένα παράθυρο διαλόγου στον χρήστη ζητώντας επιβεβαίωση. Καλύπτονται οι προσπάθειες λήψης πόρων, τα αιτήματα fetch() και οι εισαγωγές iframe. Η προστασία δεν εφαρμόζεται προς το παρόν σε συνδέσεις μέσω WebSockets, WebTransport και WebRTC, αλλά θα προστεθεί για αυτές τις τεχνολογίες αργότερα.
Οι εισβολείς εκμεταλλεύονται την πρόσβαση σε εσωτερικούς πόρους για να εκτελέσουν επιθέσεις CSRF σε δρομολογητές, σημεία πρόσβασης, εκτυπωτές, εταιρικές διεπαφές ιστού και άλλες συσκευές και υπηρεσίες που δέχονται αιτήματα μόνο από το τοπικό δίκτυο. Επιπλέον, η σάρωση εσωτερικών πόρων μπορεί να χρησιμοποιηθεί για έμμεση αναγνώριση ή για τη συλλογή πληροφοριών σχετικά με το τοπικό δίκτυο.
- Έχει εισαχθεί μια ενιαία, απλοποιημένη διεπαφή για τη σύνδεση με έναν λογαριασμό Google και τον συγχρονισμό δεδομένων, όπως αποθηκευμένους κωδικούς πρόσβασης και σελιδοδείκτες. Ο συγχρονισμός είναι ενσωματωμένος με τη σύνδεση στον λογαριασμό και δεν παρουσιάζεται ως ξεχωριστή επιλογή στις ρυθμίσεις. Οι χρήστες μπορούν να συνδέσουν το Chrome με τον λογαριασμό τους Google και να τον χρησιμοποιήσουν για την αποθήκευση κωδικών πρόσβασης, σελιδοδεικτών, ιστορικού περιήγησης και καρτελών. Αυτή η λειτουργία είναι προς το παρόν ενεργή για ορισμένους χρήστες και θα επεκταθεί σταδιακά.
- Χρησιμοποιείται ένα νέο μοντέλο απομόνωσης διεργασιών - «Απομόνωση Προέλευσης», στο οποίο κάθε πηγή περιεχομένου (προέλευση - μια δέσμη από το πρωτόκολλο, τομέα και η θύρα, για παράδειγμα, "https://foo.example.com"), απομονώνεται σε ξεχωριστή διαδικασία απόδοσης. Δεδομένου ότι η αύξηση της λεπτομέρειας της απομόνωσης μπορεί να οδηγήσει σε αυξημένη κατανάλωση μνήμης και φόρτο CPU, η νέα λειτουργία απομόνωσης ενεργοποιείται μόνο σε συστήματα με περισσότερα από 4 GB RAM. Σε υλικό χαμηλής κατανάλωσης, θα συνεχίσει να χρησιμοποιείται η παλιά προσέγγιση απομόνωσης, η οποία απομονώνει όλες τις διαφορετικές πηγές περιεχομένου που σχετίζονται με έναν μόνο ιστότοπο (για παράδειγμα, foo.example.com και bar.example.com) σε ξεχωριστή διαδικασία.
- Σε συστήματα με Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Στην έκδοση για Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Η υλοποίηση του πρωτοκόλλου DTLS (Datagram Transport Layer Security, ένα ανάλογο TLS για UDP) που χρησιμοποιείται για συνδέσεις WebRTC περιλαμβάνει τη χρήση αλγορίθμων κρυπτογράφησης μετά-κβαντικού τύπου.
- Η κατάσταση ενεργοποίησης, που ορίζεται κατά τη δραστηριότητα του χρήστη σε μια σελίδα, διατηρείται πλέον μετά την πλοήγηση σε μια άλλη σελίδα στον ίδιο τομέα. Η διατήρηση της ενεργοποίησης θα απλοποιήσει την ανάπτυξη εφαρμογών ιστού πολλαπλών σελίδων και θα λύσει προβλήματα όπως ο καθορισμός της εστίασης εισόδου όταν ο ιστότοπος εμφανίζει το εικονικό του πληκτρολόγιο.
- Οι ψευδοκλάσεις CSS ":target-before" και ":target-after" έχουν προστεθεί για να ορίσουν τους προηγούμενους και επόμενους δείκτες σε σχέση με την τρέχουσα θέση κύλισης (":target-current").
- Τα κοντέινερ στυλ (@container) και η συνάρτηση if() υποστηρίζουν πλέον τη σύνταξη εύρους που ορίζεται στην προδιαγραφή Media Queries Level 4, η οποία επιτρέπει τη χρήση τυπικών μαθηματικών τελεστών σύγκρισης και λογικών τελεστών για τον ορισμό εύρους τιμών. Για παράδειγμα, μπορείτε πλέον να καθορίσετε "@container style(—inner-padding > 1em)" και "background-color: if(style(attr(data-columns, type ) > 2): ανοιχτό μπλε; αλλιώς: λευκό);"
- Τα στοιχεία " " και " " υποστηρίζουν πλέον το χαρακτηριστικό "interestfor". Αυτό το χαρακτηριστικό μπορεί να χρησιμοποιηθεί για την ενεργοποίηση ενεργειών, όπως η εμφάνιση ενός αναδυόμενου παραθύρου, όταν ο χρήστης δείχνει ενδιαφέρον για το στοιχείο. Το πρόγραμμα περιήγησης αναγνωρίζει συμβάντα όπως την τοποθέτηση του δείκτη του ποντικιού πάνω από το στοιχείο, το πάτημα πλήκτρων πρόσβασης ή το παρατεταμένο άγγιγμα σε μια οθόνη αφής ως ενδείξεις ενδιαφέροντος. Όταν εντοπιστεί ένα στοιχείο με το χαρακτηριστικό "interestfor", το πρόγραμμα περιήγησης δημιουργεί ένα Συμβάν Ενδιαφέροντος.
- Έχουν γίνει βελτιώσεις στα εργαλεία ανάπτυξης ιστοσελίδων. Ένα κουμπί γρήγορης εκκίνησης για τον βοηθό τεχνητής νοημοσύνης έχει προστεθεί στην επάνω δεξιά γωνία. Το στοιχείο μενού περιβάλλοντος "Ερώτηση προς την τεχνητή νοημοσύνη" έχει μετονομαστεί σε "Εντοπισμός σφαλμάτων με τεχνητή νοημοσύνη" και έχει επεκταθεί ώστε να περιλαμβάνει τη δυνατότητα εκτέλεσης άμεσων ενεργειών ανάλογα με το περιβάλλον. Στην κονσόλα ιστού και στον πίνακα κώδικα, ο βοηθός τεχνητής νοημοσύνης Gemini μπορεί πλέον να δημιουργεί προτάσεις με κώδικα.
Τα εργαλεία για προγραμματιστές ιστού ενσωματώνονται πλέον με το Πρόγραμμα Προγραμματιστών Google (GDP). Οι προγραμματιστές μπορούν πλέον να έχουν πρόσβαση στο προφίλ GDP τους απευθείας από τα Chrome DevTools και να κερδίζουν ανταμοιβές για την ολοκλήρωση συγκεκριμένων εργασιών σε αυτήν τη διεπαφή.
Εκτός από τις νέες δυνατότητες και τις διορθώσεις σφαλμάτων, η νέα έκδοση αντιμετωπίζει 20 ευπάθειες. Πολλές από τις ευπάθειες εντοπίστηκαν μέσω αυτοματοποιημένων δοκιμών χρησιμοποιώντας τα AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer και AFL. Δεν εντοπίστηκαν κρίσιμα ζητήματα που θα μπορούσαν να επιτρέψουν την παράκαμψη όλων των επιπέδων προστασίας του προγράμματος περιήγησης και την εκτέλεση κώδικα εκτός του περιβάλλοντος sandbox. Στο πλαίσιο του προγράμματος αμοιβής για ευπάθειες για την τρέχουσα έκδοση, η Google έχει θεσπίσει 20 αμοιβές συνολικού ύψους 130.000 δολαρίων (δύο αμοιβές των 50.000 δολαρίων, μία αμοιβή των 10000 δολαρίων, τρεις αμοιβές των 3000 δολαρίων, δύο αμοιβές των 2000 δολαρίων και τρεις αμοιβές των 1000 δολαρίων). Τα ποσά οκτώ από τις αμοιβές δεν έχουν ακόμη προσδιοριστεί.
Επιπλέον, εντοπίστηκε μια μη ενημερωμένη ευπάθεια στη μηχανή Blink, η οποία προκαλεί σφάλματα και πάγωμα του προγράμματος περιήγησης κατά την εκτέλεση συγκεκριμένου κώδικα JavaScript. Η ευπάθεια προκαλείται από αρχιτεκτονικά προβλήματα στη μηχανή απόδοσης που σχετίζονται με την έλλειψη ορίου ρυθμού ενημέρωσης της ιδιότητας "document.title". Αυτή η έλλειψη περιορισμού επιτρέπει τη χρήση του "document.title" για την πραγματοποίηση δεκάδων εκατομμυρίων αλλαγών στο DOM ανά δευτερόλεπτο. Αυτό προκαλεί το πάγωμα της διεπαφής μέσα σε λίγα δευτερόλεπτα λόγω του αποκλεισμού του κύριου νήματος και της σημαντικής κατανάλωσης μνήμης. Μετά από 15-60 δευτερόλεπτα, το πρόγραμμα περιήγησης παρουσιάζει σφάλμα.
Πηγή: opennet.ru
