A Google kiadta a Chrome webböngésző 141-es verzióját. A Chrome alapját képező nyílt forráskódú Chromium projekt stabil kiadása is elérhető. A Chrome a Google logók használatában, az összeomlásról értesítő rendszerben, a másolásvédett videótartalom (DRM) lejátszására szolgáló modulokban, az automatikus frissítések telepítésében, a mindig bekapcsolt sandbox izolációban, a Google API-kulcsok kiépítésében és az RLZ paraméterek keresés közbeni átadásában különbözik a Chromiumtól. Azok számára, akiknek több időre van szükségük a frissítéshez, egy különálló, kiterjesztett stabil ágat tartanak fenn nyolc hétig. A következő kiadás, a Chrome 142, október 28-ra van ütemezve.
Főbb változások a Chrome 141-ban:
- Для части пользователей активирован интегрированный в браузер чат-бот Gemini, который может пояснять содержимое просматриваемой страницы и отвечать на связанные со страницей вопросы, не переключаясь с текущей вкладки. Для вызова Gemini в верхний правый угол экрана добавлена кнопка, при нажатии на которую выводится диалог, позволяющий задавать вопросы на естественном языке и выбирать вкладки, содержимое которых должен учитывать AI при формировании ответа. Поддерживается текстовое и голосовое общение с ботом. Возможность доступна для пользователей из США, имеющих доступ к приложению Gemini и использующих платформы macOS, iOS és Windows.
- Engedélyezve lett a helyi rendszerhez (loopback, 127.0.0.0/8) vagy a belső hálózathoz (192.168.0.0/16, 10.0.0.0/8 stb.) való hozzáférés elleni védelem nyilvános webhelyekkel való interakció során. A belső erőforrások betöltésekor a böngésző mostantól egy megerősítést kérő párbeszédpanelt jelenít meg. A belső erőforrások elérését a támadók CSRF-támadások végrehajtására használják útválasztók, hozzáférési pontok, nyomtatók, vállalati webes felületek és más olyan eszközök és szolgáltatások ellen, amelyek csak a helyi hálózatról fogadnak kéréseket. Továbbá a belső erőforrások szkennelése közvetett azonosításra vagy a helyi hálózattal kapcsolatos információk gyűjtésére is használható.
- Megkezdődött az átállás egy részletesebb folyamatelkülönítési modellre, az „Eredeti elkülönítésre”, amelyben minden tartalomforrás (eredeti forrás) egy protokoll-kötés, tartomány és a port, például "https://foo.example.com") külön renderelési folyamatban izolálódnak. Mivel az izolációs granularitás növelése a memóriafogyasztás és a CPU-terhelés növekedéséhez vezethet, az új izolációs mód csak a 4 GB-nál több RAM-mal rendelkező rendszereken engedélyezett. Alacsony fogyasztású hardvereken továbbra is a régi izolációs megközelítés lesz használatban, amely egyetlen webhelyhez (például foo.example.com és bar.example.com) társított összes különböző tartalomforrást egy külön folyamatban izolálja. Ez a funkció jelenleg néhány felhasználó számára engedélyezve van, és fokozatosan bővülni fog.
- A „Same Origin” házirend engedélyezve lett a Storage Access API-hoz. A „document.requestStorageAccess()” metódus meghívása egy másik webhelyről iframe-en keresztül betöltött kódból mostantól alapértelmezés szerint csak azt a webhelyet célozza meg, ahonnan az iframe betöltődik, nem pedig az iframe-et tároló webhelyet.
- Добавлена эвристика для выявления на стороне клиента перехвата или перенаправления на внешние сайты поисковых запросов, вводимых в адресной строке или на странице, показываемой при открытии новой вкладки. Подобный перехват применяется некоторыми вредоносными дополнениями. Проверка осуществляется через сопоставление вводимых пользователем запросов с появлением страницы с результатами поиска. При выявлении подмены в режиме Safe Browsing на szerveren Google отправляется телеметрия для более детального анализа, учитывающего телеметрию от разных пользователей.
- Az Új lap oldalon az alsó panel, amely az Új lap tartalmát befolyásoló bővítményekkel kapcsolatos információkat jeleníti meg, mostantól a központilag felügyelt eszközről is megjelenít információkat.
- A harmadik féltől származó hitelesítési szolgáltatókhoz kapcsolt felhasználói profilokkal rendelkező rendszereken megvalósították a távoli adminisztrációs parancsok, például a gyorsítótár vagy a sütik törlésének lehetőségét.
- Az IndexedDB API megvalósítja a getAllRecords() metódust, amely az összes rekordot egy objektumtárolóból (IDBObjectStore) és egy indexből (IDBIndex) kéri le. A getAllRecords() egyesíti a getAllKeys() és a getAll() funkcionalitását, hogy mind az elsődleges kulcsokat, mind a hozzájuk tartozó értékeket lekérje. A getAll() és getAllKeys() metódusok mostantól tartalmaznak egy "direction" paramétert az adatlekérés irányának megadásához, ami felgyorsíthat bizonyos olvasási műveleteket a kurzorok használatához képest.
- Hozzáadott "WebRTC Encoded Transform" API az RTCPeerConnection-ön keresztül továbbított kódolt médiaadatok feldolgozásához.
- Hozzáadott támogatás a beágyazott elemek „szélesség” és „magasság” attribútumaihoz , amelynek méretét CSS vagy SVG jelölőnyelvvel lehet szabályozni.
- Fejlesztések történtek a webfejlesztői eszközökön. Hozzáadtunk egy kísérleti MCP (Model Context Protocol) szervert, amely lehetővé teszi a külső MI-asszisztensek számára a Chrome DevTools funkcióinak elérését.
Az írás pillanatában sem a bejelentésben, sem a változáskövetőben nem volt információ a javított sebezhetőségekről.
Frissítés: A kiadás után egy nappal nyilvánosságra kerültek a kijavított sebezhetőségekről szóló információk. A Chrome 141 21 sebezhetőséget javít. A sebezhetőségek nagy részét automatizált teszteléssel azonosították az AddressSanitizer, a MemorySanitizer, a Control Flow Integrity, a LibFuzzer és az AFL segítségével. Nem azonosítottak olyan kritikus hibát, amely lehetővé tenné a böngészővédelem összes rétegének megkerülését és a kód sandbox környezeten kívüli futtatását. A jelenlegi kiadás sebezhetőségi jutalomprogramjának részeként a Google 12 jutalmat osztott ki összesen 50 000 dollár értékben (egy-egy 25 000, 5 000, 4 000 és 2 000 dolláros jutalmat, négy 3 000 dolláros jutalmat és két 1 000 dolláros jutalmat). Az egyes jutalmak összegét még nem határozták meg.
Forrás: opennet.ru
