Izdanje web preglednika Chrome 142

Google je izdao verziju 142 web preglednika Chrome. Dostupna je i stabilna verzija projekta otvorenog koda Chromium, temelja Chromea. Chrome se od Chromiuma razlikuje po korištenju Googleovih logotipa, sustavu obavještavanja o rušenju, modulima za reprodukciju video sadržaja zaštićenog od kopiranja (DRM), automatskoj instalaciji ažuriranja, stalnoj izolaciji sandboxa, pružanju Google API ključeva i prosljeđivanju RLZ parametara tijekom pretraživanja. Za one kojima je potrebno više vremena za ažuriranje, zasebna proširena stabilna grana održava se osam tjedana. Sljedeće izdanje, Chrome 143, zakazano je za 2. prosinca.

Ključne promjene u Chromeu 142:

• Omogućena je zaštita od pristupa lokalnom sustavu prilikom interakcije s javnim web-stranicama. Prilikom pristupa web-stranici na javnoj ili internoj mreži (intranetu), IP adrese Prilikom pristupa lokalnom sustavu ili loopback sučelju (127.0.0.0/8), preglednik će korisniku prikazati dijaloški okvir u kojem se traži potvrda. Pokušaji preuzimanja resursa, fetch() zahtjevi i umetanje iframeova su obuhvaćeni. Zaštita se trenutno ne primjenjuje na veze putem WebSocketsa, WebTransporta i WebRTC-a, ali će za te tehnologije biti dodana kasnije.

  Napadači iskorištavaju pristup internim resursima za izvođenje CSRF napada na usmjerivače, pristupne točke, pisače, korporativna web sučelja i druge uređaje i usluge koji prihvaćaju samo zahtjeve iz lokalne mreže. Nadalje, skeniranje internih resursa može se koristiti za neizravnu identifikaciju ili za prikupljanje informacija o lokalnoj mreži.
• Uvedeno je jedinstveno, pojednostavljeno sučelje za povezivanje s Google računom i sinkronizaciju podataka, kao što su spremljene lozinke i oznake. Sinkronizacija je integrirana s prijavom na račun i nije prikazana kao zasebna opcija u postavkama. Korisnici mogu povezati Chrome sa svojim Google računom i koristiti ga za pohranjivanje lozinki, oznaka, povijesti pregledavanja i kartica. Ova je značajka trenutno aktivna za neke korisnike i postupno će se proširivati.
• Koristi se novi model izolacije procesa - „Izolacija porijekla“, u kojem svaki izvor sadržaja (izvor - paket protokola, domena i port, na primjer, "https://foo.example.com"), izoliran je u zasebnom procesu renderiranja. Budući da povećanje granularnosti izolacije može dovesti do povećane potrošnje memorije i opterećenja CPU-a, novi način izolacije omogućen je samo na sustavima s više od 4 GB RAM-a. Na hardveru niske snage nastavit će se koristiti stari pristup izolacije, koji izolira sve različite izvore sadržaja povezane s jednom web-lokacijom (na primjer, foo.example.com i bar.example.com) u zasebnom procesu.
• Na sustavima s Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
• U verziji za Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
• Implementacija DTLS (Datagram Transport Layer Security, TLS analog za UDP) protokola koji se koristi za WebRTC veze uključuje korištenje algoritama postkvantne enkripcije.
• Status aktivacije, postavljen tijekom aktivnosti korisnika na stranici, sada se čuva nakon navigacije na drugu stranicu na istoj domeni. Čuvanje aktivacije pojednostavit će razvoj web aplikacija s više stranica i riješiti probleme poput postavljanja fokusa unosa kada web-mjesto prikazuje svoju virtualnu tipkovnicu.
• CSS pseudo-klase ":target-before" i ":target-after" su dodane kako bi se definirali prethodni i sljedeći markeri u odnosu na trenutni položaj pomicanja (":target-current").
• Spremnici stilova (@container) i funkcija if() sada podržavaju sintaksu raspona definiranu u specifikaciji Media Queries Level 4, koja omogućuje korištenje standardnih matematičkih operatora usporedbe i logičkih operatora za definiranje raspona vrijednosti. Na primjer, sada možete navesti "@container style(—inner-padding > 1em)" i "background-color: if(style(attr(data-columns, type ) > 2): svijetloplava; inače: bijela);"
• Elementi " " i " " sada podržavaju atribut "interestfor". Ovaj atribut može se koristiti za pokretanje radnji, poput prikaza skočnog prozora, kada korisnik pokaže interes za element. Preglednik prepoznaje događaje poput zadržavanja pokazivača iznad elementa, pritiskanja tipki prečaca ili zadržavanja dodira na zaslonu osjetljivom na dodir kao pokazatelje interesa. Kada se identificira element s atributom "interestfor", preglednik generira InterestEvent.
• Poboljšana su alata za web developere. U gornji desni kut dodan je gumb za brzo pokretanje AI asistenta. Stavka kontekstnog izbornika "Pitajte AI" preimenovana je u "Ispravljanje pogrešaka s AI" i proširena je kako bi uključila mogućnost izvođenja trenutnih radnji ovisno o kontekstu. U web konzoli i ploči s kodom, Gemini AI asistent sada može generirati preporuke s kodom.

  Alati za web developere sada se integriraju s Google Developer Programom (GDP). Developeri sada mogu pristupiti svom GDP profilu izravno iz Chrome DevToolsa i zaraditi nagrade za dovršavanje određenih zadataka unutar ovog sučelja.

  

Uz nove značajke i ispravke programskih pogrešaka, nova verzija rješava 20 ranjivosti. Mnoge ranjivosti identificirane su automatiziranim testiranjem pomoću AddressSanitizera, MemorySanitizera, Control Flow Integrityja, LibFuzzera i AFL-a. Nisu identificirani kritični problemi koji bi mogli omogućiti zaobilaženje svih slojeva zaštite preglednika i izvršavanje koda izvan sandbox okruženja. Kao dio programa nagrada za ranjivosti za trenutno izdanje, Google je uspostavio 20 nagrada u ukupnom iznosu od 130.000 USD (dvije nagrade od 50.000 USD, jedna od 10000 USD, tri od 3000 USD, dvije od 2000 USD i tri od 1000 USD). Iznosi osam nagrada još nisu određeni.

Osim toga, u Blink engineu je identificirana nezakrpana ranjivost koja uzrokuje rušenje i zamrzavanje preglednika prilikom izvršavanja određenog JavaScript koda. Ranjivost je uzrokovana arhitektonskim problemima u rendering engineu povezanim s nedostatkom ograničenja brzine ažuriranja svojstva "document.title". Ovaj nedostatak ograničenja omogućuje korištenje "document.title" za izradu desetaka milijuna promjena DOM-a u sekundi. To uzrokuje zamrzavanje sučelja u roku od nekoliko sekundi zbog blokiranja glavne niti i značajne potrošnje memorije. Nakon 15-60 sekundi, preglednik se ruši.

Izvor: opennet.ru