A Google kiadta a Chrome webböngésző 142-es verzióját. A Chrome alapját képező nyílt forráskódú Chromium projekt stabil kiadása is elérhető. A Chrome a Google logók használatában, az összeomlásról értesítő rendszerben, a másolásvédett videótartalom (DRM) lejátszására szolgáló modulokban, az automatikus frissítések telepítésében, a mindig bekapcsolt sandbox izolációban, a Google API-kulcsok kiépítésében és az RLZ paraméterek keresés közbeni átadásában különbözik a Chromiumtól. Azok számára, akiknek több időre van szükségük a frissítéshez, egy különálló, kiterjesztett stabil ágat tartanak fenn nyolc hétig. A következő kiadás, a Chrome 143, december 2-ra van ütemezve.
Főbb változások a Chrome 142-ban:
- A nyilvános webhelyekkel való interakció során a helyi rendszerhez való hozzáférés elleni védelem engedélyezve van. Nyilvános vagy belső hálózaton (intranet) található webhely elérésekor IP-címek A helyi rendszer vagy a loopback interfész (127.0.0.0/8) elérésekor a böngésző egy párbeszédpanelt jelenít meg a felhasználónak, amely megerősítést kér. A védelem kiterjed az erőforrások letöltési kísérleteire, a fetch() kérésekre és az iframe beszúrásokra. A védelem jelenleg nem vonatkozik a WebSockets, WebTransport és WebRTC kapcsolataira, de később ezekhez a technológiákhoz is hozzáadásra kerül.
A támadók a belső erőforrásokhoz való hozzáférést kihasználva CSRF-támadásokat hajthatnak végre routerek, hozzáférési pontok, nyomtatók, vállalati webes felületek és más olyan eszközök és szolgáltatások ellen, amelyek csak a helyi hálózatról fogadnak kéréseket. Továbbá, a belső erőforrások szkennelése felhasználható közvetett azonosításra vagy a helyi hálózatról szóló információk gyűjtésére.
- Egyetlen, egyszerűsített felületet vezettek be a Google-fiókhoz való kapcsolódáshoz és az adatok, például a mentett jelszavak és könyvjelzők szinkronizálásához. A szinkronizálás integrálva van a fiókba való bejelentkezéssel, és nem jelenik meg külön opcióként a beállításokban. A felhasználók összekapcsolhatják a Chrome-ot Google-fiókjukkal, és használhatják jelszavak, könyvjelzők, böngészési előzmények és lapok tárolására. Ez a funkció jelenleg néhány felhasználó számára aktív, és fokozatosan bővülni fog.
- Egy új folyamatelkülönítési modellt használnak - „Eredeti elkülönítés”, amelyben minden tartalomforrás (eredeti - egy protokollkötés, tartomány és a port, például „https://foo.example.com”), egy külön renderelési folyamatban kerül elkülönítésre. Mivel az elkülönítési granularitás növelése a memóriafogyasztás és a CPU-terhelés növekedéséhez vezethet, az új elkülönítési mód csak a 4 GB-nál több RAM-mal rendelkező rendszereken engedélyezett. Alacsony fogyasztású hardvereken továbbra is a régi elkülönítési megközelítés lesz használatban, amely egyetlen webhelyhez (például foo.example.com és bar.example.com) társított összes különböző tartalomforrást egy külön folyamatban izolálja.
- Rendszereken, amelyekkel Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- A verzióban Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- A WebRTC kapcsolatokhoz használt DTLS (Datagram Transport Layer Security, az UDP TLS-analógja) protokoll implementációja posztkvantum titkosítási algoritmusok használatát foglalja magában.
- Az aktiválási állapot, amelyet a felhasználó egy oldalon végzett tevékenység során állít be, mostantól megőrződik, miután egy másik oldalra navigált ugyanazon a domainen belül. Az aktiválás megőrzése leegyszerűsíti a többoldalas webalkalmazások fejlesztését, és megoldja az olyan problémákat, mint például a beviteli fókusz beállítása, amikor a webhely megjeleníti a virtuális billentyűzetét.
- A ":target-before" és ":target-after" CSS pszeudoosztályok hozzáadódtak, hogy meghatározzák az előző és következő jelölőket az aktuális görgetési pozícióhoz képest (":target-current").
- A stílustárolók (@container) és az if() függvény mostantól támogatják a Media Queries Level 4 specifikációban definiált Range szintaxist, amely lehetővé teszi a szabványos matematikai összehasonlító operátorok és logikai operátorok használatát az értéktartományok meghatározásához. Például mostantól megadható a "@container style(—inner-padding > 1em)" és a "background-color: if(style(attr(data-columns, type ) > 2): világoskék; egyébként: fehér);"
- A „ ” és „ ” elemek mostantól támogatják az „interestfor” attribútumot. Ez az attribútum műveletek kiváltására használható, például egy felugró ablak megjelenítésére, amikor a felhasználó érdeklődést mutat az elem iránt. A böngésző az olyan eseményeket ismeri fel, mint a mutató elem fölé húzása és rajta tartása, gyorsbillentyűk megnyomása vagy érintőképernyőn való nyomva tartás, az érdeklődés jelzéseként. Amikor a böngésző azonosít egy „interestfor” attribútummal rendelkező elemet, InterestEvent-et generál.
- Fejlesztések történtek a webfejlesztői eszközökön. A jobb felső sarokban egy gyorsindító gomb jelent meg a mesterséges intelligencia asszisztenshez. A „Kérdezd a mesterséges intelligenciát” helyi menüelemet átnevezték „Hibakeresés mesterséges intelligenciával” névre, és kibővítették, hogy a kontextustól függően azonnali műveleteket lehessen végrehajtani. A webkonzolon és a kódpanelen a Gemini mesterséges intelligencia asszisztens mostantól kóddal is képes javaslatokat generálni.
A webfejlesztői eszközök mostantól integrálhatók a Google Developer Programba (GDP). A fejlesztők mostantól közvetlenül a Chrome DevTools-ból is hozzáférhetnek GDP-profiljukhoz, és jutalmakat szerezhetnek a felületen belül elvégzett konkrét feladatokért.
Az új funkciók és hibajavítások mellett az új verzió 20 sebezhetőséget kezel. A sebezhetőségek közül sokat automatizált teszteléssel azonosítottak AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer és AFL segítségével. Nem azonosítottak olyan kritikus problémákat, amelyek lehetővé tennék a böngészővédelem összes rétegének megkerülését és a kód sandbox környezeten kívüli futtatását. A jelenlegi kiadás sebezhetőségi fejvadászprogramjának részeként a Google 20 fejvadászati bírságot határozott meg, összesen 130 000 dollár értékben (két 50 000 dolláros, egy 10 000 dolláros, három 3000 dolláros, két 2000 dolláros és három 1000 dolláros). Nyolc fejvadászati bírság összegét még nem határozták meg.
Ezenkívül egy javítatlan sebezhetőséget azonosítottak a Blink motorban, amely a böngésző összeomlását és lefagyását okozza bizonyos JavaScript kódok futtatásakor. A sebezhetőséget a renderelő motor architektúrájában fellépő problémák okozzák, amelyek a "document.title" tulajdonság frissítésének sebességkorlátozásának hiányához kapcsolódnak. Ez a korlátozás hiánya lehetővé teszi, hogy a "document.title" tulajdonság másodpercenként több tízmillió DOM-módosítást végezzen. Ez a felület néhány másodpercen belüli lefagyását okozza a fő szál blokkolása és a jelentős memóriafogyasztás miatt. 15-60 másodperc elteltével a böngésző összeomlik.
Forrás: opennet.ru
