Google on julkaissut Chrome-selaimestaan version 142. Chromen perustana toimivasta avoimen lähdekoodin Chromium-projektista on saatavilla myös vakaa versio. Chrome eroaa Chromiumista Google-logojen käytön, kaatumisilmoitusjärjestelmän, kopiosuojatun videosisällön (DRM) toistomoduulien, automaattisen päivitysten asennuksen, aina päällä olevan hiekkalaatikon eristämisen, Google API -avainten tarjoamisen ja RLZ-parametrien välittämisen suhteen haun aikana. Niille, jotka tarvitsevat enemmän aikaa päivittämiseen, erillinen laajennettu vakaa versio ylläpidetään kahdeksan viikon ajan. Seuraava julkaisu, Chrome 143, on määrä julkaista 2. joulukuuta.
Tärkeimmät muutokset Chrome 142:ssa:
- Suojaus paikallisen järjestelmän käyttöä vastaan julkisilla verkkosivustoilla käytettäessä on käytössä. Kun käytät verkkosivustoa julkisessa tai sisäisessä verkossa (intranetissä), IP-osoitteet Kun käytetään paikallista järjestelmää tai loopback-rajapintaa (127.0.0.0/8), selain näyttää käyttäjälle valintaikkunan, jossa pyydetään vahvistusta. Suojaus kattaa resurssien latausyritykset, fetch()-pyynnöt ja iframe-lisäykset. Suojausta ei tällä hetkellä sovelleta WebSocketsin, WebTransportin ja WebRTC:n kautta muodostettuihin yhteyksiin, mutta se lisätään näille tekniikoille myöhemmin.
Hyökkääjät hyödyntävät sisäisten resurssien käyttöä suorittaakseen CSRF-hyökkäyksiä reitittimiin, tukiasemiin, tulostimiin, yritysten verkkoliittymiin ja muihin laitteisiin ja palveluihin, jotka hyväksyvät pyyntöjä vain paikallisverkosta. Lisäksi sisäisten resurssien skannausta voidaan käyttää epäsuoraan tunnistamiseen tai tietojen keräämiseen paikallisverkosta.
- Google-tiliin linkittämiseen ja tietojen, kuten tallennettujen salasanojen ja kirjanmerkkien, synkronointiin on otettu käyttöön yksi, yksinkertaistettu käyttöliittymä. Synkronointi on integroitu tilille kirjautumiseen, eikä sitä esitetä erillisenä vaihtoehtona asetuksissa. Käyttäjät voivat yhdistää Chromen Google-tiliinsä ja käyttää sitä salasanojen, kirjanmerkkien, selaushistorian ja välilehtien tallentamiseen. Tämä ominaisuus on tällä hetkellä aktiivinen joillakin käyttäjillä, ja sitä laajennetaan vähitellen.
- Käytössä on uusi prosessien eristämismalli – ”Alkuperän eristäminen”, jossa jokainen sisällön lähde (alkuperä – protokollasidonta, verkkotunnus ja portti, esimerkiksi "https://foo.example.com"), eristetään erillisessä renderöintiprosessissa. Koska eristyksen tarkkuuden lisääminen voi johtaa muistin kulutuksen ja suorittimen kuormituksen kasvuun, uusi eristystila on käytössä vain järjestelmissä, joissa on yli 4 Gt RAM-muistia. Vähävirtaisissa laitteistoissa käytetään edelleen vanhaa eristysmenetelmää, joka eristää kaikki yhteen sivustoon (esimerkiksi foo.example.com ja bar.example.com) liittyvät eri sisältölähteet erillisessä prosessissa.
- На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Versiossa for Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- WebRTC-yhteyksissä käytetyn DTLS-protokollan (Datagram Transport Layer Security, TLS-analogi UDP:lle) toteutus sisältää postkvanttisalausalgoritmien käytön.
- Sivulla käyttäjän toiminnan aikana asetettu aktivointitila säilyy nyt myös toiselle saman verkkotunnuksen sivulle siirtymisen jälkeen. Aktivoinnin säilyttäminen yksinkertaistaa monisivuisten verkkosovellusten kehittämistä ja ratkaisee ongelmia, kuten syöttökohdistuksen asettamisen, kun sivusto näyttää virtuaalisen näppäimistönsä.
- CSS-pseudo-luokat ":target-before" ja ":target-after" on lisätty määrittämään edelliset ja seuraavat merkit suhteessa nykyiseen vierityskohtaan (":target-current").
- Tyylikontit (@container) ja if()-funktio tukevat nyt Media Queries Level 4 -spesifikaatiossa määriteltyä aluesyntaksia, joka sallii matemaattisten vertailuoperaattoreiden ja loogisten operaattoreiden käytön arvoalueiden määrittämiseen. Voit esimerkiksi nyt määrittää "@container style(—inner-padding > 1em)" ja "background-color: if(style(attr(data-columns, type ) > 2): vaaleansininen; muuten: valkoinen);"
- Elementit " " ja " " tukevat nyt "interestfor"-attribuuttia. Tätä attribuuttia voidaan käyttää toimintojen käynnistämiseen, kuten ponnahdusikkunan näyttämiseen, kun käyttäjä osoittaa kiinnostusta elementtiä kohtaan. Selain tunnistaa kiinnostuksen osoituksiksi sellaisia tapahtumia kuin osoittimen pitäminen elementin päällä, pikanäppäinten painaminen tai kosketusnäytön pitäminen pohjassa. Kun selain tunnistaa "interestfor"-attribuutin omaavan elementin, se luo InterestEvent-tapahtuman.
- Verkkokehitystyökaluihin on tehty parannuksia. Tekoälyavustajalle on lisätty pikakäynnistyspainike oikeaan yläkulmaan. "Kysy tekoälystä" -kontekstivalikon kohta on nimetty uudelleen "Virheenkorjaus tekoälyn avulla" ja sitä on laajennettu siten, että se mahdollistaa välittömien toimintojen suorittamisen kontekstista riippuen. Verkkokonsolissa ja koodipaneelissa Gemini-tekoälyavustaja voi nyt luoda suosituksia koodilla.
Verkkokehitystyökalut integroituvat nyt Google Developer Program (GDP) -ohjelmaan. Kehittäjät voivat nyt käyttää GDP-profiiliaan suoraan Chrome DevToolsista ja ansaita palkintoja tiettyjen tehtävien suorittamisesta tässä käyttöliittymässä.
Uusien ominaisuuksien ja virheenkorjausten lisäksi uusi versio korjaa 20 haavoittuvuutta. Monet haavoittuvuuksista tunnistettiin automaattisella testauksella käyttäen AddressSanitizeria, MemorySanitizeria, Control Flow Integritya, LibFuzzeria ja AFL:ää. Kriittisiä ongelmia, jotka voisivat mahdollistaa kaikkien selaimen suojauskerrosten ohittamisen ja koodin suorittamisen hiekkalaatikkoympäristön ulkopuolella, ei tunnistettu. Osana nykyisen julkaisun haavoittuvuuspalkkio-ohjelmaa Google on asettanut 20 palkkiota, joiden yhteissumma on 130 000 dollaria (kaksi 50 000 dollarin palkkiota, yksi 10 000 dollarin palkkio, kolme 3 000 dollarin palkkiota, kaksi 2 000 dollarin palkkiota ja kolme 1 000 dollarin palkkiota). Kahdeksan palkkion suuruutta ei ole vielä määritetty.
Lisäksi Blink-moottorista on tunnistettu korjaamaton haavoittuvuus, joka aiheuttaa selaimen kaatumisen ja jumiutumisen tiettyä JavaScript-koodia suoritettaessa. Haavoittuvuuden aiheuttavat renderöintimoottorin arkkitehtuuriongelmat, jotka liittyvät "document.title"-ominaisuuden päivitysnopeusrajoituksen puuttumiseen. Tämä rajoituksen puute mahdollistaa "document.title"-ominaisuuden käytön kymmenien miljoonien muutosten tekemiseen DOM:iin sekunnissa. Tämä aiheuttaa käyttöliittymän jumiutumisen muutamassa sekunnissa pääsäikeen estymisen ja merkittävän muistinkulutuksen vuoksi. 15–60 sekunnin kuluttua selain kaatuu.
Lähde: opennet.ru
