Google lanzou a versión 142 do navegador web Chrome. Tamén está dispoñible unha versión estable do proxecto Chromium de código aberto, a base de Chrome. Chrome diferénciase de Chromium no seu uso dos logotipos de Google, un sistema de notificación de erros, módulos para reproducir contido de vídeo protexido contra copia (DRM), instalación automática de actualizacións, illamento de sandbox sempre activo, aprovisionamento de claves API de Google e a transferencia de parámetros RLZ durante a busca. Para aqueles que precisen máis tempo para actualizar, mantense unha rama Extended Stable independente durante oito semanas. A seguinte versión, Chrome 143, está programada para o 2 de decembro.
Cambios clave en Chrome 142:
- A protección contra o acceso ao sistema local ao interactuar con sitios web públicos está activada. Ao acceder a un sitio web nunha rede pública ou interna (intranet), Enderezos IP Ao acceder ao sistema local ou á interface de bucle invertido (127.0.0.0/8), o navegador mostrará unha caixa de diálogo ao usuario solicitando confirmación. Os intentos de descargar recursos, as solicitudes fetch() e as insercións de iframe están cubertos. A protección non se aplica actualmente ás conexións a través de WebSockets, WebTransport e WebRTC, pero engadirase para estas tecnoloxías máis adiante.
Os atacantes aproveitan o acceso a recursos internos para realizar ataques CSRF en enrutadores, puntos de acceso, impresoras, interfaces web corporativas e outros dispositivos e servizos que só aceptan solicitudes da rede local. Ademais, a análise de recursos internos pódese empregar para a identificación indirecta ou para recompilar información sobre a rede local.
- Introduciuse unha única interface simplificada para vincular a unha conta de Google e sincronizar datos, como contrasinais gardados e marcadores. A sincronización está integrada co inicio de sesión da conta e non se presenta como unha opción separada na configuración. Os usuarios poden conectar Chrome á súa conta de Google e usalo para almacenar contrasinais, marcadores, historial de navegación e pestanas. Esta función está activa actualmente para algúns usuarios e ampliarase gradualmente.
- Úsase un novo modelo de illamento de procesos: o «illamento da orixe», no que cada fonte de contido (orixe: unha vinculación de protocolo, dominio e o porto, por exemplo, "https://foo.example.com"), está illado nun proceso de renderización separado. Dado que aumentar a granularidade do illamento pode levar a un maior consumo de memoria e carga da CPU, o novo modo de illamento só está activado en sistemas con máis de 4 GB de RAM. En hardware de baixo consumo, seguirase a usar o antigo enfoque de illamento, que illa todas as diferentes fontes de contido asociadas a un único sitio (por exemplo, foo.example.com e bar.example.com) nun proceso separado.
- En sistemas con Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Na versión para Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- A implementación do protocolo DTLS (Datagram Transport Layer Security, un análogo TLS para UDP) empregado para as conexións WebRTC inclúe o uso de algoritmos de cifrado postcuántico.
- O estado de activación, definido durante a actividade do usuario nunha páxina, agora consérvase despois de navegar a outra páxina no mesmo dominio. Conservar a activación simplificará o desenvolvemento de aplicacións web de varias páxinas e resolverá problemas como a configuración do foco de entrada cando o sitio mostra o seu teclado virtual.
- Engadíronse as pseudoclases CSS ":target-before" e ":target-after" para definir os marcadores anterior e seguinte en relación coa posición de desprazamento actual (":target-current").
- Os contedores de estilo (@container) e a función if() agora admiten a sintaxe de rango definida na especificación Media Queries Level 4, que permite o uso de operadores de comparación matemática estándar e operadores lóxicos para definir rangos de valores. Por exemplo, agora podes especificar "@container style(—inner-padding > 1em)" e "background-color: if(style(attr(data-columns, type ) > 2): azul claro; se non: branco);"
- Os elementos " " e " " agora admiten o atributo "interestfor". Este atributo pódese usar para activar accións, como mostrar unha xanela emerxente, cando o usuario mostra interese no elemento. O navegador recoñece eventos como pasar o cursor e manter o punteiro sobre o elemento, premer teclas de atallo ou manter un toque nunha pantalla táctil como indicadores de interese. Cando se identifica un elemento co atributo "interestfor", o navegador xera un InterestEvent.
- Melloráronse as ferramentas para desenvolvedores web. Engadiuse un botón de inicio rápido para o asistente de IA na esquina superior dereita. O elemento do menú contextual "Preguntar á IA" cambiou de nome a "Depurar con IA" e ampliouse para incluír a capacidade de realizar accións inmediatas dependendo do contexto. Na consola web e no panel de código, o asistente de IA de Gemini agora pode xerar recomendacións con código.
As ferramentas para desenvolvedores web agora intégranse co Programa para desenvolvedores de Google (GDP). Os desenvolvedores agora poden acceder ao seu perfil de GDP directamente desde Chrome DevTools e gañar recompensas por completar tarefas específicas dentro desta interface.
Ademais das novas funcionalidades e correccións de erros, a nova versión aborda 20 vulnerabilidades. Moitas das vulnerabilidades identificáronse mediante probas automatizadas con AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Non se identificaron problemas críticos que permitisen eludir todas as capas de protección do navegador e executar código fóra do ambiente de probas. Como parte do programa de recompensas por vulnerabilidades para a versión actual, Google estableceu 20 recompensas por un total de 130.000 dólares (dúas recompensas de 50.000 dólares, unha de 10000 dólares, tres recompensas de 3000 dólares, dúas de 2000 dólares e tres de 1000 dólares). Os importes de oito das recompensas aínda non se determinaron.
Ademais, identificouse unha vulnerabilidade sen parche no motor Blink, que provoca que o navegador se bloquee e se conxele ao executar certo código JavaScript. A vulnerabilidade débese a problemas arquitectónicos no motor de renderización relacionados coa falta dun límite de velocidade na actualización da propiedade "document.title". Esta falta de limitación permite que "document.title" se use para facer decenas de millóns de cambios no DOM por segundo. Isto fai que a interface se conxele en poucos segundos debido ao bloqueo do fío principal e a un consumo significativo de memoria. Despois de 15-60 segundos, o navegador falla.
Fonte: opennet.ru
