Google telah merilis peramban web Chrome versi 141. Rilis stabil proyek Chromium sumber terbuka, fondasi Chrome, juga tersedia. Chrome berbeda dari Chromium dalam hal penggunaan logo Google, sistem notifikasi kerusakan, modul untuk memutar konten video yang dilindungi hak cipta (DRM), instalasi pembaruan otomatis, isolasi sandbox yang selalu aktif, penyediaan kunci API Google, dan penerusan parameter RLZ selama pencarian. Bagi mereka yang membutuhkan lebih banyak waktu untuk memperbarui, cabang Stabil Diperpanjang yang terpisah dipertahankan selama delapan minggu. Rilis berikutnya, Chrome 142, dijadwalkan pada 28 Oktober.
Perubahan penting di Chrome 141:
- Chatbot Gemini yang terintegrasi dengan peramban telah diaktifkan untuk beberapa pengguna. Chatbot ini dapat menjelaskan konten halaman yang sedang dilihat dan menjawab pertanyaan terkait tanpa perlu berpindah dari tab yang sedang dibuka. Untuk memanggil Gemini, sebuah tombol telah ditambahkan di pojok kanan atas layar. Saat diklik, akan muncul kotak dialog yang memungkinkan pengguna mengajukan pertanyaan dalam bahasa alami dan memilih tab yang isinya akan dipertimbangkan oleh AI saat memberikan respons. Komunikasi teks dan suara dengan bot ini juga didukung. Fitur ini tersedia bagi pengguna di AS yang memiliki akses ke aplikasi Gemini dan menggunakan macOS, iOS, dan Windows.
- Perlindungan terhadap akses ke sistem lokal (loopback, 127.0.0.0/8) atau jaringan internal (192.168.0.0/16, 10.0.0.0/8, dll.) saat berinteraksi dengan situs web publik telah diaktifkan. Saat mencoba memuat sumber daya internal, peramban sekarang akan menampilkan kotak dialog yang meminta konfirmasi. Akses ke sumber daya internal digunakan oleh penyerang untuk melakukan serangan CSRF pada router, titik akses, printer, antarmuka web perusahaan, dan perangkat serta layanan lain yang hanya menerima permintaan dari jaringan lokal. Lebih lanjut, pemindaian sumber daya internal dapat digunakan untuk identifikasi tidak langsung atau untuk mengumpulkan informasi tentang jaringan lokal.
- Transisi menuju model isolasi proses yang lebih terperinci telah dimulai - "Isolasi Asal", di mana setiap sumber konten (asal - sebuah bundel dari protokol, domain dan port, misalnya, "https://foo.example.com"), diisolasi dalam proses rendering terpisah. Karena peningkatan granularitas isolasi dapat menyebabkan peningkatan konsumsi memori dan beban CPU, mode isolasi baru hanya diaktifkan pada sistem dengan RAM lebih dari 4 GB. Pada perangkat keras berdaya rendah, pendekatan isolasi lama akan terus digunakan, yang mengisolasi semua sumber konten berbeda yang terkait dengan satu situs (misalnya, foo.example.com dan bar.example.com) dalam proses terpisah. Fitur ini saat ini diaktifkan untuk beberapa pengguna, dan akan secara bertahap diperluas untuk mencakup lebih banyak pengguna.
- Kebijakan "Asal yang Sama" telah diaktifkan untuk Storage Access API. Memanggil "document.requestStorageAccess()" dari kode yang dimuat melalui iframe dari situs lain kini, secara default, hanya akan menargetkan situs tempat iframe dimuat, bukan situs yang menghosting iframe tersebut.
- Heuristik telah ditambahkan untuk mendeteksi intersepsi atau pengalihan sisi klien atas kueri penelusuran yang dimasukkan di bilah alamat atau di halaman yang ditampilkan saat membuka tab baru. Jenis intersepsi ini digunakan oleh beberapa add-on berbahaya. Pemeriksaan dilakukan dengan membandingkan kueri yang dimasukkan pengguna dengan halaman hasil penelusuran yang muncul. Jika substitusi terdeteksi dalam mode Penjelajahan Aman, telemetri akan dikirim ke server Google untuk analisis yang lebih detail, dengan mempertimbangkan telemetri dari berbagai pengguna.
- Pada Halaman Tab Baru, panel bawah yang menampilkan informasi tentang add-on yang memengaruhi konten Halaman Tab Baru kini menampilkan informasi tentang perangkat yang dikelola secara terpusat.
- Pada sistem dengan profil pengguna yang ditautkan ke penyedia autentikasi pihak ketiga, kemampuan untuk menjalankan perintah administrasi jarak jauh, seperti menghapus cache atau cookie, telah diterapkan.
- API IndexedDB mengimplementasikan metode getAllRecords(), yang mengambil semua rekaman dari penyimpanan objek (IDBObjectStore) dan indeks (IDBIndex). getAllRecords() menggabungkan fungsionalitas getAllKeys() dan getAll() untuk mengambil kunci utama dan nilai terkaitnya. Metode getAll() dan getAllKeys() kini menyertakan parameter "arah" untuk menentukan arah pengambilan data, yang dapat mempercepat operasi baca tertentu dibandingkan dengan menggunakan kursor.
- Menambahkan API "WebRTC Encoded Transform" untuk memproses data media terkode yang dikirimkan melalui RTCPeerConnection.
- Menambahkan dukungan untuk atribut "lebar" dan "tinggi" untuk elemen bersarang , yang ukurannya dapat dikontrol melalui CSS atau markup SVG.
- Peningkatan telah dilakukan pada perangkat pengembang web. Server MCP (Model Context Protocol) eksperimental telah ditambahkan, yang memungkinkan asisten AI eksternal mengakses kapabilitas Chrome DevTools.
Pada saat penulisan, tidak ada informasi tentang kerentanan yang diperbaiki dalam pengumuman atau pelacak perubahan.
Pembaruan: Sehari setelah rilis, informasi tentang kerentanan yang telah diperbaiki diungkapkan. Chrome 141 memperbaiki 21 kerentanan. Banyak kerentanan yang teridentifikasi melalui pengujian otomatis menggunakan AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, dan AFL. Tidak ada masalah kritis yang teridentifikasi yang memungkinkan pengguna melewati semua lapisan perlindungan browser dan mengeksekusi kode di luar lingkungan sandbox. Sebagai bagian dari program hadiah kerentanan untuk rilis terbaru, Google telah memberikan 12 hadiah dengan total $50 (masing-masing satu hadiah sebesar $25000, $5000, $4000, dan $2000, empat hadiah sebesar $3000, dan dua hadiah sebesar $1000). Jumlah masing-masing hadiah belum ditentukan.
Sumber: opennet.ru
