Google-ը թողարկել է Chrome վեբ զննարկչի 142-րդ տարբերակը: Chrome-ի հիմքը հանդիսացող բաց կոդով Chromium նախագծի կայուն տարբերակը նույնպես հասանելի է: Chrome-ը Chromium-ից տարբերվում է Google-ի լոգոների օգտագործմամբ, խափանումների մասին ծանուցումների համակարգով, պատճենահանումից պաշտպանված տեսանյութերի (DRM) նվագարկման մոդուլներով, ավտոմատ թարմացումների տեղադրմամբ, միշտ միացված sandbox մեկուսացմամբ, Google API բանալիների տրամադրմամբ և որոնման ընթացքում RLZ պարամետրերի փոխանցմամբ: Նրանց համար, ովքեր ավելի շատ ժամանակ են պահանջում թարմացման համար, առանձին ընդլայնված կայուն ճյուղը պահպանվում է ութ շաբաթ: Հաջորդ թողարկումը՝ Chrome 143-ը, նախատեսված է դեկտեմբերի 2-ին:
Հիմնական փոփոխությունները Chrome 142-ում.
- Հանրային կայքերի հետ փոխազդելիս տեղական համակարգի մուտքի պաշտպանությունը միացված է։ Հանրային կամ ներքին ցանցում (ներցանց) կայք մուտք գործելիս՝ IP հասցեներ Տեղական համակարգին կամ loopback ինտերֆեյսին (127.0.0.0/8) մուտք գործելիս, զննարկիչը օգտատիրոջը կցուցադրի երկխոսության պատուհան՝ հաստատում խնդրելով: Ռեսուրսներ ներբեռնելու փորձերը, fetch() հարցումները և iframe տեղադրումները ներառված են այս ցանկում: Պաշտպանությունը ներկայումս չի կիրառվում WebSockets, WebTransport և WebRTC միացումների վրա, բայց այս տեխնոլոգիաների համար այն կավելացվի ավելի ուշ:
Հարձակվողները օգտագործում են ներքին ռեսուրսների հասանելիությունը՝ CSRF հարձակումներ իրականացնելու համար ռաութերների, մուտքի կետերի, տպիչների, կորպորատիվ վեբ ինտերֆեյսների և այլ սարքերի ու ծառայությունների վրա, որոնք ընդունում են միայն տեղական ցանցից ստացված հարցումներ: Ավելին, ներքին ռեսուրսների սկանավորումը կարող է օգտագործվել անուղղակի նույնականացման կամ տեղական ցանցի մասին տեղեկատվություն հավաքելու համար:
- Google հաշվին կապվելու և տվյալները, ինչպիսիք են պահպանված գաղտնաբառերը և էջանիշները, համաժամեցնելու համար ներդրվել է մեկ, պարզեցված ինտերֆեյս: Համաժամեցումը ինտեգրված է հաշվի մուտքի հետ և կարգավորումներում չի ներկայացվում որպես առանձին տարբերակ: Օգտատերերը կարող են Chrome-ը միացնել իրենց Google հաշվին և օգտագործել այն գաղտնաբառերը, էջանիշները, դիտման պատմությունը և ներդիրները պահելու համար: Այս գործառույթն այժմ ակտիվ է որոշ օգտատերերի համար և աստիճանաբար կընդլայնվի:
- Օգտագործվում է գործընթացի մեկուսացման նոր մոդել՝ «Ծագման մեկուսացում», որում յուրաքանչյուր բովանդակության աղբյուր (ծագում - արձանագրությունների փաթեթ, տիրույթ և պորտը, օրինակ՝ «https://foo.example.com»), մեկուսացված է առանձին մատուցման գործընթացում: Քանի որ մեկուսացման հատիկավորության բարձրացումը կարող է հանգեցնել հիշողության սպառման և պրոցեսորի ծանրաբեռնվածության ավելացման, նոր մեկուսացման ռեժիմը միացված է միայն 4 ԳԲ-ից ավելի օպերատիվ հիշողությամբ համակարգերում: Էներգախնայողության ցածր մակարդակ ունեցող սարքավորումների վրա կշարունակի օգտագործվել հին մեկուսացման մոտեցումը, որը մեկուսացնում է մեկ կայքի հետ կապված բոլոր տարբեր բովանդակության աղբյուրները (օրինակ՝ foo.example.com և bar.example.com) առանձին գործընթացում:
- На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Տարբերակում՝ Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- WebRTC կապերի համար օգտագործվող DTLS (Datagram Transport Layer Security, UDP-ի TLS անալոգ) արձանագրության իրականացումը ներառում է հետքվանտային կոդավորման ալգորիթմների օգտագործումը։
- Էջի վրա օգտատիրոջ գործունեության ընթացքում սահմանված ակտիվացման կարգավիճակը այժմ պահպանվում է նույն տիրույթի մեկ այլ էջ անցնելուց հետո: Ակտիվացման պահպանումը կհեշտացնի բազմաէջ վեբ հավելվածների մշակումը և կլուծի այնպիսի խնդիրներ, ինչպիսիք են մուտքագրման ֆոկուսի սահմանումը, երբ կայքը ցուցադրում է իր վիրտուալ ստեղնաշարը:
- CSS կեղծ-դասերը՝ «:target-before» և «:target-after», ավելացվել են՝ նախորդ և հաջորդ մարկերները ընթացիկ գլորման դիրքի համեմատ սահմանելու համար («:target-current»):
- Style containers (@container) և if() ֆունկցիան այժմ աջակցում են Media Queries Level 4 սպեցիֆիկացիայում սահմանված Range Syntax-ը, որը թույլ է տալիս օգտագործել ստանդարտ մաթեմատիկական համեմատության օպերատորներ և տրամաբանական օպերատորներ՝ արժեքների տիրույթները սահմանելու համար: Օրինակ, այժմ կարող եք նշել "@container style(—inner-padding > 1em)" և "background-color: if(style(attr(data-columns, type ) > 2): բաց կապույտ; այլապես՝ սպիտակ);"
- « » և « » տարրերն այժմ աջակցում են «interestfor» ատրիբուտին։ Այս ատրիբուտը կարող է օգտագործվել գործողություններ սկսելու համար, ինչպիսիք են՝ ցատկող պատուհանի ցուցադրումը, երբ օգտատերը հետաքրքրություն է ցուցաբերում տարրի նկատմամբ։ Զննարկիչը որպես հետաքրքրության ցուցիչներ ճանաչում է այնպիսի իրադարձություններ, ինչպիսիք են՝ ցուցիչը տարրի վրա պահելը, ստեղների սեղմումը կամ սենսորային էկրանին հպումը։ Երբ նույնականացվում է «interestfor» ատրիբուտով տարր, զննարկիչը ստեղծում է InterestEvent։
- Բարելավումներ են կատարվել վեբ մշակողի գործիքներում: Արհեստական բանականության օգնականի համար արագ գործարկման կոճակ է ավելացվել վերին աջ անկյունում: «Հարցրեք արհեստական բանականությանը» համատեքստային ցանկի տարրը վերանվանվել է «Debug with AI» և ընդլայնվել է՝ ներառելով համատեքստից կախված անհապաղ գործողություններ կատարելու հնարավորությունը: Վեբ կոնսոլում և կոդի վահանակում Gemini AI օգնականն այժմ կարող է առաջարկություններ ստեղծել կոդի միջոցով:
Վեբ մշակողների գործիքներն այժմ ինտեգրվում են Google Developer Program (GDP) ծրագրի հետ։ Մշակողները այժմ կարող են մուտք գործել իրենց GDP պրոֆիլին անմիջապես Chrome DevTools-ից և պարգևատրվել այս ինտերֆեյսում որոշակի առաջադրանքներ կատարելու համար։
Բացի նոր հնարավորություններից և սխալների շտկումներից, նոր տարբերակը լուծում է 20 խոցելիություն։ Խոցելիություններից շատերը հայտնաբերվել են AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer և AFL ծրագրաշարերի միջոցով ավտոմատացված թեստավորման միջոցով։ Չեն հայտնաբերվել որևէ կարևոր խնդիր, որը կարող էր թույլ տալ շրջանցել բրաուզերի պաշտպանության բոլոր շերտերը և կատարել կոդը sandbox միջավայրից դուրս։ Ընթացիկ թողարկման խոցելիությունների պարգևատրման ծրագրի շրջանակներում Google-ը սահմանել է 20 պարգևատրում՝ ընդհանուր առմամբ 130,000 դոլար (երկու՝ 50,000 դոլար, մեկ՝ 10000 դոլար, երեք՝ 3000 դոլար, երկու՝ 2000 դոլար և երեք՝ 1000 դոլար)։ Պարգևատրումներից ութի չափը դեռևս որոշված չէ։
Բացի այդ, Blink շարժիչում հայտնաբերվել է չթարմացված խոցելիություն, որը որոշակի JavaScript կոդ կատարելիս հանգեցնում է զննարկչի խափանմանը և կախմանը: Խոցելիությունը պայմանավորված է մատուցման շարժիչի ճարտարապետական խնդիրներով, որոնք կապված են «document.title» հատկության թարմացման արագության սահմանափակման բացակայության հետ: Սահմանափակման այս բացակայությունը թույլ է տալիս «document.title»-ի միջոցով վայրկյանում DOM-ում տասնյակ միլիոնավոր փոփոխություններ կատարել: Սա հանգեցնում է ինտերֆեյսի կախմանը մի քանի վայրկյանի ընթացքում՝ հիմնական թելի արգելափակման և հիշողության զգալի սպառման պատճառով: 15-60 վայրկյան անց զննարկիչը խափանվում է:
Source: opennet.ru
