GoogleはChromeウェブブラウザのバージョン142をリリースしました。Chromeの基盤となるオープンソースのChromiumプロジェクトの安定版も利用可能です。Chromeは、Googleロゴの使用、クラッシュ通知システム、著作権保護された動画コンテンツ(DRM)再生用モジュール、自動アップデートインストール、常時オンのサンドボックス分離、Google APIキーのプロビジョニング、検索中のRLZパラメータの受け渡しといった点でChromiumと異なります。アップデートに時間を要するユーザーのために、8週間のExtended Stableブランチが別途メンテナンスされます。次のリリースであるChrome 143は12月2日に予定されています。
Chrome 142 の主な変更点:
- ローカルシステムアクセス保護は、パブリックWebサイトとのやり取り時に有効になります。パブリックネットワークまたは内部ネットワーク(イントラネット)上のWebサイトにアクセスする場合、 IPアドレス ローカルシステムまたはループバックインターフェース(127.0.0.0/8)にアクセスすると、ブラウザは確認を求めるダイアログボックスをユーザーに表示します。リソースのダウンロード、fetch() リクエスト、iframe の挿入などが保護対象となります。WebSocket、WebTransport、WebRTC を介した接続には現在保護が適用されていませんが、これらの技術についても後日追加される予定です。
攻撃者は、ルーター、アクセスポイント、プリンター、企業のWebインターフェースなど、ローカルネットワークからのリクエストのみを受け入れるデバイスやサービスに対して、内部リソースへのアクセスを悪用し、CSRF攻撃を実行します。さらに、内部リソースのスキャンは、間接的な識別やローカルネットワークに関する情報の収集にも利用されます。
- Googleアカウントへのリンクと、保存したパスワードやブックマークなどのデータの同期を、簡素化された単一のインターフェースで行えるようになりました。同期はアカウントのログインに統合されており、設定画面に個別のオプションとして表示されることはありません。ユーザーはChromeをGoogleアカウントに接続し、パスワード、ブックマーク、閲覧履歴、タブを保存できます。この機能は現在一部のユーザーで有効になっており、段階的に拡張される予定です。
- 新しいプロセス分離モデル「オリジン分離」が使用され、各コンテンツソース(オリジン - プロトコルバインディング、 ドメイン 特定のURLとポート(例:https://foo.example.com)は、別のレンダリングプロセスで分離されます。分離の粒度を上げるとメモリ消費量とCPU負荷が増加する可能性があるため、新しい分離モードは4GB以上のRAMを搭載したシステムでのみ有効になります。低消費電力ハードウェアでは、従来の分離アプローチが引き続き使用され、単一のサイトに関連付けられたすべての異なるコンテンツソース(例:foo.example.comとbar.example.com)が別のプロセスで分離されます。
- システムでは Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- のバージョンでは Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- WebRTC 接続に使用される DTLS (Datagram Transport Layer Security、UDP の TLS アナログ) プロトコルの実装には、量子耐性暗号化アルゴリズムの使用が含まれます。
- ページ上でのユーザーアクティビティ中に設定されたアクティベーションステータスが、同じドメイン内の別のページに移動した後も保持されるようになりました。アクティベーションの保持により、複数ページからなるウェブアプリケーションの開発が簡素化され、サイトが仮想キーボードを表示した際に入力フォーカスを設定するといった問題も解決されます。
- 現在のスクロール位置 (":target-current") を基準として前のマーカーと次のマーカーを定義するために、CSS 疑似クラス ":target-before" と ":target-after" が追加されました。
- スタイルコンテナ(@container)とif()関数は、Media Queries Level 4仕様で定義されている範囲構文をサポートするようになりました。これにより、標準的な数学比較演算子と論理演算子を使用して値の範囲を定義できます。たとえば、「@container style(—inner-padding > 1em)」と「background-color: if(style(attr(data-columns, type ) > 2): ライトブルー; そうでない場合は白);"
- 「 」要素と「 」要素が「interestfor」属性をサポートするようになりました。この属性は、ユーザーが要素に興味を示した際に、ポップアップの表示などのアクションをトリガーするために使用できます。ブラウザは、要素上にポインターを移動させて保持する、ホットキーを押す、タッチスクリーンをタッチしたままにするなどのイベントを、ユーザーが興味を示したことを示す指標として認識します。「interestfor」属性を持つ要素が識別されると、ブラウザは InterestEvent を生成します。
- ウェブ開発者ツールが改良されました。AIアシスタントのクイック起動ボタンが右上に追加されました。コンテキストメニューの「AIに質問」項目は「AIでデバッグ」に名称変更され、コンテキストに応じて即座にアクションを実行できるようになりました。ウェブコンソールとコードパネルでは、Gemini AIアシスタントがコードを使用してレコメンデーションを生成できるようになりました。
ウェブ開発者ツールがGoogleデベロッパープログラム(GDP)と統合されました。開発者はChrome DevToolsから直接GDPプロフィールにアクセスし、このインターフェース内で特定のタスクを完了することで報酬を獲得できるようになります。
新バージョンでは、新機能とバグ修正に加え、20件の脆弱性が修正されています。これらの脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、AFL を使用した自動テストによって特定されました。ブラウザ保護の全層をバイパスし、サンドボックス環境外でコードを実行できるような重大な問題は確認されていません。現在のリリースの脆弱性報奨金プログラムの一環として、Google は総額 13 万ドルの報奨金 20 件(5 万ドルが 2 件、1 万ドルが 1 件、3000 ドルが 3 件、2000 ドルが 2 件、1000 ドルが 3 件)を設定しました。そのうち 8 件の報奨金の額はまだ未定です。
さらに、Blinkエンジンに未修正の脆弱性が確認され、特定のJavaScriptコードの実行時にブラウザがクラッシュしてフリーズする問題が発生しています。この脆弱性は、レンダリングエンジンのアーキテクチャ上の問題、つまり「document.title」プロパティの更新レート制限の欠如に起因しています。この制限の欠如により、「document.title」プロパティを使用して1秒間に数千万回ものDOM変更を行うことが可能になっています。その結果、メインスレッドがブロックされ、メモリ消費量が大幅に増加するため、インターフェースは数秒以内にフリーズします。15~60秒後にブラウザがクラッシュします。
出所: オープンネット.ru
