Google on avaldanud Chrome'i veebibrauseri versiooni 142. Saadaval on ka Chrome'i aluseks oleva avatud lähtekoodiga Chromiumi projekti stabiilne versioon. Chrome erineb Chromiumist Google'i logode kasutamise, krahhide teavitussüsteemi, kopeerimiskaitsega videosisu (DRM) esitamise moodulite, automaatse värskenduste installimise, alati sisse lülitatud liivakasti isolatsiooni, Google API-võtmete eraldamise ja RLZ-parameetrite edastamise poolest otsingu ajal. Neile, kes vajavad värskendamiseks rohkem aega, on kaheksa nädala jooksul loodud eraldi laiendatud stabiilne haru. Järgmine versioon, Chrome 143, on kavandatud 2. detsembriks.
Peamised muudatused Chrome'is 142:
- Kohaliku süsteemi juurdepääsukaitse on avalike veebisaitidega suhtlemisel lubatud. Avalikus või sisevõrgus (intranetis) olevale veebisaidile juurdepääsu korral IP-aadressid Kohaliku süsteemi või loopback-liidese (127.0.0.0/8) avamisel kuvab brauser kasutajale kinnitust küsiva dialoogiboksi. Kaitse hõlmab ressursside allalaadimise katseid, fetch() päringuid ja iframe'i lisamisi. Kaitset ei rakendata praegu WebSocketsi, WebTransporti ja WebRTC kaudu loodud ühendustele, kuid see lisatakse nende tehnoloogiate jaoks hiljem.
Ründajad kasutavad sisemisi ressursse ära, et sooritada CSRF-rünnakuid ruuteritele, pääsupunktidele, printeritele, ettevõtte veebiliidestele ja muudele seadmetele ja teenustele, mis aktsepteerivad päringuid ainult kohalikust võrgust. Lisaks saab sisemiste ressursside skannimist kasutada kaudseks tuvastamiseks või kohaliku võrgu kohta teabe kogumiseks.
- Google'i kontoga linkimiseks ja andmete (nt salvestatud paroolide ja järjehoidjate) sünkroonimiseks on kasutusele võetud ühtne lihtsustatud liides. Sünkroonimine on integreeritud kontole sisselogimisega ja seda ei kuvata seadetes eraldi valikuna. Kasutajad saavad Chrome'i oma Google'i kontoga ühendada ja seda kasutada paroolide, järjehoidjate, sirvimisajaloo ja vahelehtede salvestamiseks. See funktsioon on praegu mõne kasutaja jaoks aktiivne ja seda laiendatakse järk-järgult.
- Kasutusel on uus protsesside eraldamise mudel – „Päritolu eraldamine“, milles iga sisuallikas (päritolu – protokollipakett, domeeni ja port, näiteks "https://foo.example.com"), isoleeritakse eraldi renderdamisprotsessis. Kuna isolatsiooni detailsuse suurendamine võib suurendada mälukasutust ja protsessori koormust, on uus isolatsioonirežiim lubatud ainult süsteemides, millel on üle 4 GB muutmälu. Madala energiatarbega riistvaral kasutatakse jätkuvalt vana isolatsioonimeetodit, mis isoleerib kõik ühe saidiga (näiteks foo.example.com ja bar.example.com) seotud erinevad sisuallikad eraldi protsessis.
- Süsteemidel, millel on Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- jaoks mõeldud versioonis Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- WebRTC-ühenduste jaoks kasutatava DTLS-protokolli (Datagram Transport Layer Security, TLS-analoog UDP-le) rakendamine hõlmab postkvantkrüpteerimisalgoritmide kasutamist.
- Aktiveerimise olek, mis määratakse kasutaja tegevuse ajal lehel, säilib nüüd ka pärast sama domeeni teisele lehele navigeerimist. Aktiveerimise säilitamine lihtsustab mitmeleheliste veebirakenduste arendamist ja lahendab probleeme, näiteks sisendfookuse määramist, kui sait kuvab virtuaalset klaviatuuri.
- CSS-i pseudoklassid ":target-before" ja ":target-after" on lisatud, et määratleda eelmised ja järgmised markerid praeguse kerimispositsiooni (":target-current") suhtes.
- Stiilikonteinerid (@container) ja funktsioon if() toetavad nüüd Media Queries Level 4 spetsifikatsioonis määratletud vahemiku süntaksit, mis võimaldab väärtusvahemike määratlemiseks kasutada standardseid matemaatilisi võrdlusoperaatoreid ja loogilisi operaatoreid. Näiteks saate nüüd määrata "@container style(—inner-padding > 1em)" ja "background-color: if(style(attr(data-columns, type ) > 2): helesinine; muul juhul: valge);"
- Elemendid „ ” ja „ ” toetavad nüüd atribuuti „interestfor”. Seda atribuuti saab kasutada toimingute käivitamiseks, näiteks hüpikakna kuvamiseks, kui kasutaja näitab elemendi vastu huvi. Brauser tuvastab huvi indikaatoritena selliseid sündmusi nagu kursori hõljumine ja hoidmine elemendi kohal, kiirklahvide vajutamine või puutetundlikul ekraanil all hoidmine. Kui atribuudiga „interestfor” element tuvastatakse, genereerib brauser InterestEventi.
- Veebiarendaja tööriistu on täiustatud. Parempoolsesse ülanurka on lisatud tehisintellekti assistendi kiirkäivitusnupp. Kontekstimenüü üksus „Küsi tehisintellektilt” on ümber nimetatud „Silu tehisintellektiga” ja seda on laiendatud, et hõlmata võimalust teha kontekstist olenevalt koheseid toiminguid. Veebikonsoolis ja koodipaneelil saab Gemini tehisintellekti assistent nüüd koodi abil soovitusi genereerida.
Veebiarendaja tööriistad integreeruvad nüüd Google'i arendajaprogrammiga (GDP). Arendajad saavad nüüd oma GDP profiilile juurde pääseda otse Chrome DevToolsist ja teenida selle liidese kaudu teatud ülesannete täitmise eest preemiaid.
Lisaks uutele funktsioonidele ja veaparandustele parandab uus versioon 20 haavatavust. Paljud haavatavused tuvastati automaatse testimise teel, kasutades AddressSanitizerit, MemorySanitizerit, Control Flow Integrity't, LibFuzzerit ja AFL-i. Kriitilisi probleeme, mis võimaldaksid brauseri kaitse kõiki kihte mööda hiilida ja koodi käivitada väljaspool liivakasti keskkonda, ei tuvastatud. Praeguse versiooni haavatavuste preemiaprogrammi osana on Google kehtestanud 20 preemiat kogusummas 130 000 dollarit (kaks 50 000 dollari suurust preemiat, üks 10 000 dollari suurune preemia, kolm 3000 dollari suurust preemiat, kaks 2000 dollari suurust preemiat ja kolm 1000 dollari suurust preemiat). Kaheksa preemia summasid pole veel kindlaks määratud.
Lisaks on Blinki mootoris tuvastatud parandamata haavatavus, mis põhjustab brauseri krahhi ja hangumise teatud JavaScripti koodi käivitamisel. Haavatuse põhjustavad renderdusmootori arhitektuurilised probleemid, mis on seotud atribuudi "document.title" värskendamise kiirusepiirangu puudumisega. See piirangu puudumine võimaldab atribuuti "document.title" kasutada DOM-is kümnete miljonite muudatuste tegemiseks sekundis. See põhjustab liidese hangumise mõne sekundi jooksul põhilõime blokeerimise ja märkimisväärse mälukasutuse tõttu. 15–60 sekundi pärast jookseb brauser kokku.
Allikas: opennet.ru
