Google hefur gefið út útgáfu 142 af Chrome vafranum. Stöðug útgáfa af opna hugbúnaðarverkefninu Chromium, sem er grunnurinn að Chrome, er einnig fáanleg. Chrome er frábrugðið Chromium í notkun Google merkja, tilkynningakerfi um hrun, einingum fyrir spilun afritunarvarins myndbandsefnis (DRM), sjálfvirkri uppsetningu uppfærslna, einangrun stöðugs sandkassa, úthlutun Google API lykla og sendingu RLZ breytna við leit. Fyrir þá sem þurfa meiri tíma til að uppfæra er sérstök útvíkkuð stöðug grein viðhaldið í átta vikur. Næsta útgáfa, Chrome 143, er áætluð 2. desember.
Helstu breytingar á Chrome 142:
- Aðgangsvernd fyrir staðbundið kerfi er virkjuð þegar samskipti eru við opinberar vefsíður. Þegar aðgangur er að vefsíðu á opinberu eða innra neti (innraneti), IP-tölur Þegar aðgangur er að staðbundnu kerfi eða lykkjuviðmóti (127.0.0.0/8) birtir vafrinn svarglugga þar sem notandinn biður um staðfestingu. Tilraunir til að hlaða niður auðlindum, fetch() beiðnir og innsetningar á iframes eru tryggðar. Vernd er ekki notuð eins og er fyrir tengingar í gegnum WebSockets, WebTransport og WebRTC, en verður bætt við fyrir þessar tækni síðar.
Árásarmenn nýta sér aðgang að innri auðlindum til að framkvæma CSRF-árásir á beinar, aðgangsstaði, prentara, vefviðmót fyrirtækja og önnur tæki og þjónustu sem aðeins taka við beiðnum frá staðarnetinu. Ennfremur er hægt að nota skönnun á innri auðlindum til óbeinnar auðkenningar eða til að safna upplýsingum um staðarnetið.
- Eitt, einfaldað viðmót hefur verið kynnt til sögunnar til að tengjast Google reikningi og samstilla gögn, svo sem vistuð lykilorð og bókamerki. Samstilling er samþætt innskráningu á reikning og er ekki kynnt sem sérstakur valkostur í stillingum. Notendur geta tengt Chrome við Google reikninginn sinn og notað hann til að geyma lykilorð, bókamerki, vafraferil og flipa. Þessi eiginleiki er virkur fyrir suma notendur og verður smám saman stækkaður.
- Nýtt einangrunarlíkan fyrir ferli er notað - „Upprunaeinangrun“, þar sem hver innihaldsgjafi (uppruni - samskiptareglur, lén og tengi, til dæmis „https://foo.example.com“), er einangrað í aðskildu vinnsluferli. Þar sem aukin nákvæmni einangrunarinnar getur leitt til aukinnar minnisnotkunar og álags á örgjörva, er nýja einangrunarstillingin aðeins virk á kerfum með meira en 4 GB af vinnsluminni. Á vélbúnaði sem notar lítið afl verður gamla einangrunaraðferðin áfram notuð, sem einangrar allar mismunandi efnisveitur sem tengjast einni síðu (til dæmis foo.example.com og bar.example.com) í aðskildu ferli.
- Á kerfum með Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Í útgáfunni fyrir Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Innleiðing DTLS (Datagram Transport Layer Security, TLS hliðstæða fyrir UDP) samskiptareglunnar sem notuð er fyrir WebRTC tengingar felur í sér notkun á post-quantum dulkóðunaralgrímum.
- Virkjunarstaðan, sem stillt var á meðan notandi var virkur á síðu, er nú varðveitt eftir að farið er á aðra síðu á sama léni. Að varðveita virkjun mun einfalda þróun margsíðu vefforrita og leysa vandamál eins og að stilla innsláttarfókus þegar vefsíðan birtir sýndarlyklaborð sitt.
- CSS gerviklassarnir ":target-before" og ":target-after" hafa verið bættir við til að skilgreina fyrri og næstu merki miðað við núverandi skrunstöðu (":target-current").
- Stílílát (@container) og fallið if() styðja nú sviðssetningafræðina sem skilgreind er í Media Queries Level 4 forskriftinni, sem gerir kleift að nota staðlaða stærðfræðilega samanburðarvirki og rökvirki til að skilgreina gildissvið. Til dæmis er nú hægt að tilgreina "@container style(—inner-padding > 1em)" og "background-color: if(style(attr(data-columns, type ) > 2): ljósblár; annars: hvítur);"
- Frumþættirnir „ „ og „ „ styðja nú eiginleikann „interestfor“. Þessi eiginleiki er hægt að nota til að virkja aðgerðir, eins og að birta sprettiglugga, þegar notandinn sýnir áhuga á frumefninu. Vafrinn þekkir atburði eins og að halda bendilinn yfir frumefninu, ýta á flýtilykla eða halda snertingu á snertiskjá sem vísbendingar um áhuga. Þegar frumefni með eiginleikanum „interestfor“ er greint, býr vafrinn til InterestEvent.
- Úrbætur hafa verið gerðar á verkfærum vefþróunar. Flýtihnappur fyrir AI aðstoðarmanninn hefur verið bætt við í efra hægra horninu. Valmyndaratriðið „Spyrja AI“ hefur verið endurnefnt í „Kemur í veg fyrir villuleit með AI“ og stækkað til að innihalda möguleikann á að framkvæma tafarlausar aðgerðir eftir samhengi. Í vefstjórnborðinu og kóðaspjaldinu getur Gemini AI aðstoðarmaðurinn nú búið til tillögur með kóða.
Vefhönnunartól eru nú samþætt Google Developer Program (GDP). Forritarar geta nú fengið aðgang að GDP prófílnum sínum beint úr Chrome DevTools og fengið verðlaun fyrir að klára tiltekin verkefni innan þessa viðmóts.
Auk nýrra eiginleika og villuleiðréttinga fjallar nýja útgáfan um 20 veikleika. Margar veikleikanna fundust með sjálfvirkum prófunum með AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL. Engin alvarleg vandamál fundust sem gætu gert kleift að komast framhjá öllum lögum vafravarna og keyra kóða utan sandkassaumhverfisins. Sem hluti af veikleikaverðlaunaáætluninni fyrir núverandi útgáfu hefur Google komið á fót 20 verðlaunum að upphæð samtals 130.000 Bandaríkjadala (tvö verðlaun að upphæð 50.000 Bandaríkjadala, eitt verðlaun að upphæð 10000 Bandaríkjadala, þrjú verðlaun að upphæð 3000 Bandaríkjadala, tvö verðlaun að upphæð 2000 Bandaríkjadala og þrjú verðlaun að upphæð 1000 Bandaríkjadala). Upphæðir átta af verðlaununum hafa ekki enn verið ákvarðaðar.
Að auki hefur óuppfærður veikleiki verið greindur í Blink vélinni, sem veldur því að vafrinn hrynur og frýs þegar ákveðinn JavaScript kóði er keyrður. Veikleikinn stafar af byggingarfræðilegum vandamálum í vinnsluvélinni sem tengjast skorti á hraðatakmörkunum við uppfærslu á eiginleikanum „document.title“. Þessi skortur á takmörkunum gerir kleift að nota „document.title“ til að gera tugi milljóna breytinga á DOM á sekúndu. Þetta veldur því að viðmótið frýs innan fárra sekúndna vegna þess að aðalþráðurinn er lokaður og mikillar minnisnotkunar. Eftir 15-60 sekúndur hrynur vafrinn.
Heimild: opennet.ru
