Google telah merilis peramban web Chrome versi 142. Rilis stabil proyek Chromium sumber terbuka, fondasi Chrome, juga tersedia. Chrome berbeda dari Chromium dalam hal penggunaan logo Google, sistem notifikasi kerusakan, modul untuk memutar konten video yang dilindungi hak cipta (DRM), instalasi pembaruan otomatis, isolasi sandbox yang selalu aktif, penyediaan kunci API Google, dan penerusan parameter RLZ selama pencarian. Bagi mereka yang membutuhkan lebih banyak waktu untuk memperbarui, cabang Stabil Diperpanjang yang terpisah dipertahankan selama delapan minggu. Rilis berikutnya, Chrome 143, dijadwalkan pada 2 Desember.
Perubahan penting di Chrome 142:
- Perlindungan akses sistem lokal diaktifkan saat berinteraksi dengan situs web publik. Saat mengakses situs web di jaringan publik atau internal (intranet), Alamat IP Saat mengakses sistem lokal atau antarmuka loopback (127.0.0.0/8), browser akan menampilkan kotak dialog kepada pengguna yang meminta konfirmasi. Upaya untuk mengunduh sumber daya, permintaan fetch(), dan penyisipan iframe tercakup. Perlindungan saat ini tidak diterapkan pada koneksi melalui WebSockets, WebTransport, dan WebRTC, tetapi akan ditambahkan untuk teknologi ini di kemudian hari.
Penyerang memanfaatkan akses sumber daya internal untuk melakukan serangan CSRF pada router, titik akses, printer, antarmuka web perusahaan, serta perangkat dan layanan lain yang hanya menerima permintaan dari jaringan lokal. Lebih lanjut, pemindaian sumber daya internal dapat digunakan untuk identifikasi tidak langsung atau untuk mengumpulkan informasi tentang jaringan lokal.
- Antarmuka tunggal yang disederhanakan telah diperkenalkan untuk menghubungkan ke akun Google dan menyinkronkan data, seperti kata sandi dan bookmark yang tersimpan. Sinkronisasi terintegrasi dengan proses masuk akun dan tidak ditampilkan sebagai opsi terpisah di pengaturan. Pengguna dapat menghubungkan Chrome ke akun Google mereka dan menggunakannya untuk menyimpan kata sandi, bookmark, riwayat penelusuran, dan tab. Fitur ini saat ini aktif untuk beberapa pengguna, dan akan diperluas secara bertahap.
- Model isolasi proses baru digunakan - "Isolasi Asal", di mana setiap sumber konten (asal - pengikatan protokol, domain dan port, misalnya, "https://foo.example.com"), diisolasi dalam proses rendering terpisah. Karena peningkatan granularitas isolasi dapat menyebabkan peningkatan konsumsi memori dan beban CPU, mode isolasi baru hanya diaktifkan pada sistem dengan RAM lebih dari 4 GB. Pada perangkat keras berdaya rendah, pendekatan isolasi lama akan terus digunakan, yang mengisolasi semua sumber konten berbeda yang terkait dengan satu situs (misalnya, foo.example.com dan bar.example.com) dalam proses terpisah.
- Pada sistem dengan Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Dalam versi untuk Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Implementasi protokol DTLS (Datagram Transport Layer Security, analog TLS untuk UDP) yang digunakan untuk koneksi WebRTC mencakup penggunaan algoritma enkripsi pasca-kuantum.
- Status aktivasi yang ditetapkan selama aktivitas pengguna di suatu halaman kini dipertahankan setelah pengguna menavigasi ke halaman lain di domain yang sama. Mempertahankan status aktivasi akan menyederhanakan pengembangan aplikasi web multi-halaman dan menyelesaikan masalah seperti pengaturan fokus input saat situs menampilkan keyboard virtual.
- Kelas semu CSS ":target-before" dan ":target-after" telah ditambahkan untuk menentukan penanda sebelumnya dan berikutnya relatif terhadap posisi gulir saat ini (":target-current").
- Kontainer gaya (@container) dan fungsi if() kini mendukung Sintaks Rentang yang didefinisikan dalam spesifikasi Media Query Level 4, yang memungkinkan penggunaan operator perbandingan matematika standar dan operator logika untuk menentukan rentang nilai. Misalnya, Anda kini dapat menentukan "@container style(—inner-padding > 1em)" dan "background-color: if(style(attr(data-columns, type ) > 2): biru muda; yang lain: putih);"
- Elemen " " dan " " kini mendukung atribut "interestfor". Atribut ini dapat digunakan untuk memicu tindakan, seperti menampilkan jendela pop-up, ketika pengguna menunjukkan minat pada elemen tersebut. Peramban mengenali peristiwa seperti mengarahkan kursor dan menahan kursor di atas elemen, menekan tombol pintas, atau menahan sentuhan pada layar sentuh sebagai indikator minat. Ketika elemen dengan atribut "interestfor" teridentifikasi, peramban akan menghasilkan InterestEvent.
- Peningkatan telah dilakukan pada perangkat pengembang web. Tombol luncur cepat untuk asisten AI telah ditambahkan di pojok kanan atas. Item menu konteks "Tanya AI" telah diubah namanya menjadi "Debug dengan AI" dan diperluas untuk mencakup kemampuan melakukan tindakan langsung tergantung konteks. Di konsol web dan panel kode, asisten AI Gemini kini dapat menghasilkan rekomendasi dengan kode.
Alat pengembang web kini terintegrasi dengan Program Pengembang Google (GDP). Pengembang kini dapat mengakses profil GDP mereka langsung dari Chrome DevTools dan mendapatkan hadiah dengan menyelesaikan tugas tertentu dalam antarmuka ini.
Selain fitur baru dan perbaikan bug, versi terbaru ini juga mengatasi 20 kerentanan. Banyak kerentanan yang teridentifikasi melalui pengujian otomatis menggunakan AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, dan AFL. Tidak ada masalah kritis yang teridentifikasi yang memungkinkan pengabaian semua lapisan perlindungan browser dan eksekusi kode di luar lingkungan sandbox. Sebagai bagian dari program hadiah kerentanan untuk rilis terbaru, Google telah menetapkan 20 hadiah dengan total $130.000 (dua hadiah $50.000, satu hadiah $10000, tiga hadiah $3000, dua hadiah $2000, dan tiga hadiah $1000). Nilai dari delapan hadiah tersebut belum ditentukan.
Selain itu, kerentanan yang belum ditambal telah diidentifikasi pada mesin Blink, yang menyebabkan peramban macet dan membeku saat menjalankan kode JavaScript tertentu. Kerentanan ini disebabkan oleh masalah arsitektur pada mesin rendering terkait dengan tidak adanya batas kecepatan pembaruan properti "document.title". Ketiadaan batasan ini memungkinkan "document.title" digunakan untuk membuat puluhan juta perubahan pada DOM per detik. Hal ini menyebabkan antarmuka macet dalam beberapa detik karena utas utama terblokir dan konsumsi memori yang signifikan. Setelah 15-60 detik, peramban macet.
Sumber: opennet.ru
