Google ha rilasciato la versione 142 del browser web Chrome. È disponibile anche una versione stabile del progetto open source Chromium, la base di Chrome. Chrome si differenzia da Chromium per l'utilizzo dei loghi Google, un sistema di notifica degli arresti anomali, moduli per la riproduzione di contenuti video protetti da copia (DRM), l'installazione automatica degli aggiornamenti, l'isolamento sandbox sempre attivo, il provisioning delle chiavi API di Google e il passaggio di parametri RLZ durante la ricerca. Per chi necessita di più tempo per l'aggiornamento, è disponibile un ramo Extended Stable separato per otto settimane. La prossima versione, Chrome 143, è prevista per il 2 dicembre.
Modifiche principali in Chrome 142:
- La protezione dell'accesso al sistema locale è abilitata quando si interagisce con siti Web pubblici. Quando si accede a un sito Web su una rete pubblica o interna (intranet), indirizzi IP Quando si accede al sistema locale o all'interfaccia di loopback (127.0.0.0/8), il browser visualizzerà una finestra di dialogo all'utente per richiedere conferma. Sono coperti i tentativi di download di risorse, le richieste fetch() e l'inserimento di iframe. La protezione non è attualmente applicata alle connessioni tramite WebSockets, WebTransport e WebRTC, ma verrà aggiunta in seguito per queste tecnologie.
Gli aggressori sfruttano l'accesso alle risorse interne per eseguire attacchi CSRF su router, access point, stampanti, interfacce web aziendali e altri dispositivi e servizi che accettano richieste solo dalla rete locale. Inoltre, la scansione delle risorse interne può essere utilizzata per l'identificazione indiretta o per raccogliere informazioni sulla rete locale.
- È stata introdotta un'interfaccia unica e semplificata per il collegamento a un account Google e la sincronizzazione di dati, come password e segnalibri salvati. La sincronizzazione è integrata con l'accesso all'account e non è presentata come opzione separata nelle impostazioni. Gli utenti possono collegare Chrome al proprio account Google e utilizzarlo per memorizzare password, segnalibri, cronologia di navigazione e schede. Questa funzionalità è attualmente attiva per alcuni utenti e verrà gradualmente estesa.
- Viene utilizzato un nuovo modello di isolamento dei processi: "Isolamento dell'origine", in cui ogni sorgente di contenuto (origine - un pacchetto di protocolli, dominio e la porta, ad esempio "https://foo.example.com", viene isolata in un processo di rendering separato. Poiché l'aumento della granularità dell'isolamento può comportare un maggiore consumo di memoria e un carico della CPU più elevato, la nuova modalità di isolamento è abilitata solo sui sistemi con più di 4 GB di RAM. Su hardware a basso consumo, continuerà a essere utilizzato il vecchio approccio di isolamento, che isola tutte le diverse sorgenti di contenuto associate a un singolo sito (ad esempio, foo.example.com e bar.example.com) in un processo separato.
- Sui sistemi con Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Nella versione per Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- L'implementazione del protocollo DTLS (Datagram Transport Layer Security, un analogo TLS per UDP) utilizzato per le connessioni WebRTC include l'uso di algoritmi di crittografia post-quantistica.
- Lo stato di attivazione, impostato durante l'attività dell'utente su una pagina, viene ora mantenuto anche dopo la navigazione su un'altra pagina dello stesso dominio. Il mantenimento dell'attivazione semplificherà lo sviluppo di applicazioni web multipagina e risolverà problemi come l'impostazione del focus di input quando il sito visualizza la tastiera virtuale.
- Sono state aggiunte le pseudo-classi CSS ":target-before" e ":target-after" per definire i marcatori precedente e successivo rispetto alla posizione di scorrimento corrente (":target-current").
- I contenitori di stile (@container) e la funzione if() ora supportano la sintassi Range definita nella specifica Media Queries Level 4, che consente l'uso di operatori matematici di confronto standard e operatori logici per definire intervalli di valori. Ad esempio, ora è possibile specificare "@container style(—inner-padding > 1em)" e "background-color: if(style(attr(data-columns, type ) > 2): azzurro; altrimenti: bianco);"
- Gli elementi " " e " " ora supportano l'attributo "interestfor". Questo attributo può essere utilizzato per attivare azioni, come la visualizzazione di un popup, quando l'utente mostra interesse per l'elemento. Il browser riconosce eventi come il passaggio del puntatore sull'elemento, la pressione di tasti di scelta rapida o il tocco prolungato su un touchscreen come indicatori di interesse. Quando viene identificato un elemento con l'attributo "interestfor", il browser genera un evento InterestEvent.
- Sono stati apportati miglioramenti agli strumenti per sviluppatori web. Un pulsante di avvio rapido per l'assistente AI è stato aggiunto nell'angolo in alto a destra. La voce del menu contestuale "Chiedi all'AI" è stata rinominata "Debug con AI" e ampliata per includere la possibilità di eseguire azioni immediate in base al contesto. Nella console web e nel pannello del codice, l'assistente AI Gemini può ora generare suggerimenti tramite codice.
Gli strumenti per sviluppatori web ora si integrano con il Google Developer Program (GDP). Gli sviluppatori possono ora accedere al proprio profilo GDP direttamente da Chrome DevTools e ottenere premi per il completamento di attività specifiche all'interno di questa interfaccia.
Oltre a nuove funzionalità e correzioni di bug, la nuova versione risolve 20 vulnerabilità. Molte delle vulnerabilità sono state identificate tramite test automatizzati utilizzando AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Non sono stati identificati problemi critici che potrebbero consentire di bypassare tutti i livelli di protezione del browser ed eseguire codice al di fuori dell'ambiente sandbox. Nell'ambito del programma di ricompensa per le vulnerabilità per la versione attuale, Google ha istituito 20 premi per un totale di 130.000 dollari (due premi da 50.000 dollari, uno da 10000 dollari, tre premi da 3000 dollari, due premi da 2000 dollari e tre premi da 1000 dollari). L'importo di otto dei premi non è ancora stato determinato.
Inoltre, è stata identificata una vulnerabilità non corretta nel motore Blink, che causa l'arresto anomalo e il blocco del browser durante l'esecuzione di codice JavaScript. La vulnerabilità è causata da problemi architetturali nel motore di rendering relativi alla mancanza di un limite di velocità per l'aggiornamento della proprietà "document.title". Questa mancanza di limitazione consente a "document.title" di essere utilizzato per apportare decine di milioni di modifiche al DOM al secondo. Ciò causa il blocco dell'interfaccia nel giro di pochi secondi a causa del blocco del thread principale e di un consumo significativo di memoria. Dopo 15-60 secondi, il browser si blocca.
Fonte: opennet.ru
