Google a publié la version 142 du navigateur web Chrome. Une version stable du projet open source Chromium, qui constitue la base de Chrome, est également disponible. Chrome se distingue de Chromium par l'utilisation des logos Google, un système de notification en cas de plantage, des modules pour la lecture de contenu vidéo protégé contre la copie (DRM), l'installation automatique des mises à jour, l'isolation permanente dans un environnement sandbox, la fourniture de clés API Google et la transmission des paramètres RLZ lors des recherches. Pour ceux qui ont besoin de plus de temps pour effectuer la mise à jour, une branche stable étendue est maintenue pendant huit semaines. La prochaine version, Chrome 143, est prévue pour le 2 décembre.
Changements clés dans Chrome 142 :
- La protection d'accès au système local est activée lors des interactions avec des sites web publics. Lors de l'accès à un site web sur un réseau public ou interne (intranet), adresses IP Lors de l'accès au système local ou à l'interface de bouclage (127.0.0.0/8), le navigateur affichera une boîte de dialogue demandant une confirmation à l'utilisateur. Les tentatives de téléchargement de ressources, les requêtes fetch() et les insertions d'iframes sont prises en charge. La protection n'est actuellement pas appliquée aux connexions via WebSockets, WebTransport et WebRTC, mais sera ajoutée ultérieurement pour ces technologies.
Les attaquants exploitent l'accès aux ressources internes pour mener des attaques CSRF sur les routeurs, les points d'accès, les imprimantes, les interfaces web d'entreprise et autres périphériques et services qui n'acceptent que les requêtes provenant du réseau local. De plus, l'analyse des ressources internes peut servir à l'identification indirecte ou à la collecte d'informations sur le réseau local.
- Une interface unique et simplifiée permet désormais de se connecter à un compte Google et de synchroniser ses données, comme les mots de passe enregistrés et les favoris. La synchronisation est intégrée à la connexion au compte et n'est plus proposée comme option distincte dans les paramètres. Les utilisateurs peuvent connecter Chrome à leur compte Google et l'utiliser pour stocker leurs mots de passe, favoris, historique de navigation et onglets. Cette fonctionnalité est actuellement disponible pour certains utilisateurs et sera progressivement étendue.
- Un nouveau modèle d'isolation des processus est utilisé : « l'isolation de l'origine », dans lequel chaque source de contenu (origine - un ensemble de protocoles, domaine Le port (par exemple, « https://foo.example.com ») est isolé dans un processus de rendu distinct. L’augmentation de la granularité de l’isolation pouvant entraîner une hausse de la consommation de mémoire et de la charge du processeur, ce nouveau mode d’isolation est uniquement activé sur les systèmes disposant de plus de 4 Go de RAM. Sur les configurations matérielles peu puissantes, l’ancienne méthode d’isolation, qui isole toutes les sources de contenu associées à un même site (par exemple, foo.example.com et bar.example.com) dans un processus séparé, reste utilisée.
- На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Dans la version pour Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- La mise en œuvre du protocole DTLS (Datagram Transport Layer Security, un analogue TLS pour UDP) utilisé pour les connexions WebRTC inclut l'utilisation d'algorithmes de chiffrement post-quantiques.
- L'état d'activation, défini lors de l'activité de l'utilisateur sur une page, est désormais conservé lors de la navigation vers une autre page du même domaine. Cette conservation simplifie le développement d'applications web multipages et résout des problèmes tels que la gestion du focus lorsque le site affiche son clavier virtuel.
- Les pseudo-classes CSS ":target-before" et ":target-after" ont été ajoutées pour définir les marqueurs précédent et suivant par rapport à la position de défilement actuelle (:target-current").
- Les conteneurs de style (@container) et la fonction if() prennent désormais en charge la syntaxe de plage définie dans la spécification Media Queries Level 4, ce qui permet l'utilisation d'opérateurs de comparaison mathématique et d'opérateurs logiques standard pour définir des plages de valeurs. Par exemple, vous pouvez maintenant spécifier « @container style(—inner-padding > 1em) » et « background-color: if(style(attr(data-columns, type ) > 2): bleu clair; sinon : blanc);"
- Les éléments « » et « » prennent désormais en charge l’attribut « interestfor ». Cet attribut permet de déclencher des actions, comme l’affichage d’une fenêtre contextuelle, lorsque l’utilisateur manifeste un intérêt pour l’élément. Le navigateur reconnaît des actions telles que le survol prolongé de l’élément avec le pointeur, l’appui sur des raccourcis clavier ou un appui long sur un écran tactile comme autant d’indicateurs d’intérêt. Lorsqu’un élément doté de l’attribut « interestfor » est détecté, le navigateur génère un événement InterestEvent.
- Des améliorations ont été apportées aux outils de développement web. Un bouton de lancement rapide pour l'assistant IA a été ajouté en haut à droite. L'élément de menu contextuel « Demander à l'IA » a été renommé « Déboguer avec l'IA » et enrichi pour permettre d'effectuer des actions immédiates en fonction du contexte. Dans la console web et le panneau de code, l'assistant IA Gemini peut désormais générer des recommandations à partir du code.
Les outils de développement web sont désormais intégrés au Programme Google pour les développeurs (GDP). Les développeurs peuvent accéder à leur profil GDP directement depuis Chrome DevTools et gagner des récompenses en réalisant certaines tâches au sein de cette interface.
Outre de nouvelles fonctionnalités et des corrections de bugs, cette nouvelle version corrige 20 vulnérabilités. La plupart d'entre elles ont été identifiées grâce à des tests automatisés utilisant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Aucune faille critique permettant de contourner l'ensemble des protections du navigateur et d'exécuter du code en dehors de l'environnement sandbox n'a été détectée. Dans le cadre du programme de primes pour la découverte de vulnérabilités associé à cette version, Google a mis en place 20 primes pour un montant total de 130 000 $ (deux primes de 50 000 $, une de 10 000 $, trois de 3 000 $, deux de 2 000 $ et trois de 1 000 $). Le montant de huit de ces primes n'a pas encore été déterminé.
De plus, une vulnérabilité non corrigée a été identifiée dans le moteur Blink, provoquant le plantage et le blocage du navigateur lors de l'exécution de certains codes JavaScript. Cette vulnérabilité est due à des problèmes d'architecture dans le moteur de rendu, liés à l'absence de limitation de la fréquence de mise à jour de la propriété « document.title ». Cette absence de limitation permet à « document.title » d'effectuer des dizaines de millions de modifications du DOM par seconde. L'interface se bloque alors en quelques secondes en raison du blocage du thread principal et d'une consommation importante de mémoire. Après 15 à 60 secondes, le navigateur plante.
Source: opennet.ru
