Chrome 103 გამოშვება

Google-მა გამოაქვეყნა Chrome 103 ვებ ბრაუზერის გამოშვება. ამავდროულად, ხელმისაწვდომია უფასო Chromium პროექტის სტაბილური გამოშვება, რომელიც ემსახურება Chrome-ის საფუძველს. Chrome ბრაუზერი Chromium-ისგან განსხვავდება Google-ის ლოგოების გამოყენებით, ავარიის შემთხვევაში შეტყობინებების გაგზავნის სისტემის არსებობით, კოპირებით დაცული ვიდეო კონტენტის (DRM) დაკვრის მოდულებით, განახლებების ავტომატურად ინსტალაციის სისტემით, Sandbox იზოლაციის სამუდამოდ ჩართვით. , კლავიშების მიწოდება Google API-სთვის და გადასცემს RLZ- პარამეტრებს ძიებისას. მათთვის, ვისაც მეტი დრო სჭირდება განახლებისთვის, Extended Stable ფილიალი არის ცალკე მხარდაჭერილი, რასაც მოჰყვება 8 კვირა. Chrome 104-ის შემდეგი გამოშვება 2 აგვისტოს იგეგმება.

ძირითადი ცვლილებები Chrome 103-ში:

• Добавлен экспериментальный редактор изображений, вызываемый для редактирования скриншотов страниц. В редакторе доступны такие функции, как кадрирование, выделение области, рисование кистью, выбор цвета, добавление текстовых меток и вывод типовых фигур и примитивов, таких как линии, прямоугольники, окружности и стрелки. Для включения редактора необходимо активировать настройки «chrome://flags/#sharing-desktop-screenshots» и «chrome://flags/#sharing-desktop-screenshots-edit». После создания скриншота через меню Share в адресной строке, в редактор можно перейти, нажав кнопку «Изменить» («Edit») на странице с предпросмотром скриншота.
• Расширены возможности добавленного в Chrome 101 механизма упреждающей отрисовки (prerender) содержимого рекомендаций в адресной строке Omnibox. Упреждающая отрисовка дополняет ранее доступную возможность загрузки наиболее вероятных для перехода рекомендаций не дожидаясь клика пользователя, Помимо загрузки, содержимое связанных с рекомендациями страниц теперь может отрисовываются в буфере (в том числе выполняются скрипты и формируется дерево DOM), что позволяет обеспечить мгновенное отображение рекомендаций после клика. Для управления упреждающей отрисовкой предложены настройки «chrome://flags/#enable-prerender2», «chrome://flags/#omnibox-trigger-for-prerender2» и «chrome://flags/#search-suggestion-for-prerender2».

  В Chrome 103 для Android добавлен API Speculations Rules, позволяющий авторам сайтов передавать браузеру сведения о наиболее вероятных страницах, на которые пользователь может перейти. Браузер использует эту информацию для упреждающей загрузки и отрисовки содержимого страниц.

• В версии для Android задействован новый менеджер паролей, предлагающий тот же унифицированный интерфейс управления паролями, что применяется для Android-приложений.
• В версию для Android добавлена поддержка сервиса «With Google», позволяющего пользователю выражать благодарность любимым сайтам, зарегистрировавшимся в сервисе, передавая платные или бесплатные цифровые наклейки. Сервис пока доступен только для пользователей из США.
• Улучшено автозаполнения полей с номерами кредитных и дебетовых платёжных карт, в котором теперь поддерживаются карты, сохранённые через Google Pay.
• В версии для Windows по умолчанию задействован встроенный DNS-клиент, которые также используется версиях для macOS, Android и Chrome OS.
• Стабилизирован и предложен всем желающим API Local Font Access, при помощи которого можно определить и использовать установленные в системе шрифты, а также манипулировать шрифтами на низком уровне (например, фильтровать и трансформировать глифы).
• Добавлена поддержка кода HTTP-ответа 103, который позволяет информировать клиента о содержании некоторых HTTP-заголовков сразу после запроса, не дожидаясь пока сервер выполнит все связанные с запросом операции и начнёт отдачу контента. Подобным образом можно сообщать подсказки о связанных с отдаваемой страницей элементах, которые могут быть предварительно загружены (например, могут быть приведены ссылки на используемые на странице css и javascript). Получив информацию о подобных ресурсах браузер может приступить к их загрузке не дожидаясь окончания отдачи основной страницы, что позволяет сократить общее время обработки запроса.
• Origin Trials-ის რეჟიმში (ექსპერიმენტული ფუნქციები, რომლებიც საჭიროებენ ცალკეულ აქტივაციას), ფედერალური კრედიტების მართვის (FedCM) API-ის ტესტირება ჯერჯერობით მხოლოდ Android პლატფორმის ასამბლეებში დაიწყო, რაც საშუალებას გაძლევთ შექმნათ ერთიანი იდენტიფიკაციის სერვისები, რომლებიც უზრუნველყოფენ კონფიდენციალურობას და მუშაობას ჯვრის გარეშე. -საიტის თვალთვალის მექანიზმები, როგორიცაა მესამე მხარის ქუქიების დამუშავება. Origin Trial გულისხმობს მითითებულ API-სთან მუშაობის შესაძლებლობას localhost-დან ან 127.0.0.1-დან გადმოწერილი აპლიკაციებიდან, ან სპეციალური ტოკენის რეგისტრაციისა და მიღების შემდეგ, რომელიც მოქმედებს შეზღუდული დროით კონკრეტული საიტისთვის.
• В API Client Hints, развиваемого в качестве замены заголовка User-Agent и позволяющего выборочно отдавать данные о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером, добавлена возможность подстановки в список идентификаторов браузера фиктивных названий, по аналогии с используемым в TLS механизмом GREASE (Generate Random Extensions And Sustain Extensibility). Например, помимо ‘»Chrome»; v=»103″‘ и ‘»Chromium»; v=»103″‘ в список может быть добавлен случайный идентификатор несуществующего браузера ‘»(Not;Browser»; v=»12″‘. Подобная подстановка позволит выявлять проблемы с обработкой идентификаторов неизвестных браузеров, которые приводят к тому, что альтернативные браузеры вынуждены притворяться другими популярными браузерами, чтобы обойти проверку по спискам допустимых браузеров.
• Файлы в формате изображений AVIF добавлены в список разрешённых для обмена через API iWeb Share.
• Добавлена поддержка формата сжатия «deflate-raw», позволяющего получить доступ к голому сжатому потоку без заголовков и служебных финальных блоков, что можно использовать, например, для чтения и записи zip-файлов.
• Для элементов web-форм предоставлена возможность использования атрибута «rel», что позволяет применять к навигации через web-формы параметр «rel=noreferrer» для отключения передачи заголовка Referer или «rel=noopener» для отключения выставления свойства Window.opener и запрета доступа к контексту из которого был выполнен переход.
• Реализация события popstate приведена в соответствие с поведением Firefox. Событие popstate теперь генерируется сразу после изменения URL без ожидания наступления события load.
• Для страниц, открытых без HTTPS и из блоков iframe запрещено обращение к API Gampepad и API Battery Status.
• В объект SerialPort добавлен метод forget() для отказа от ранее полученных от пользователя полномочий для доступа к последовательному порту.
• В CSS-свойство overflow-clip-margin добавлен атрибут visual-box, определяющий с какого места следует начинать обрезку контента, вышедшего за границу области (может принимать значения content-box, padding-box и border-box).
• В блоках iframe с атрибутом sandbox запрещён вызов внешних протоколов и запуск внешних приложений-обработчиков. Для отмены ограничения следует использовать свойства allow-popups, allow-top-navigation и allow-top-navigation-with-user-activation.
• Прекращена поддержка элемента <param>, который потерял смысл после прекращения поддержки плагинов.
• Внесены улучшения в инструменты для web-разработчиков. Например, в панели Styles появилась возможность определения цвета точки вне окна браузера. Улучшен предпросмотр значений параметров в отладчике. Добавлена возможность изменения порядка следования панелей в интерфейсе Elements.

Кроме нововведений и исправления ошибок в новой версии устранено 14 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одной из проблем (CVE-2022-2156) присвоен критический уровень опасности, который подразумевает возможность обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали по данной уязвимости пока не разглашаются, известно только, что она вызвана обращением к освобождённому блоку памяти (use-after-free).

В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 9 премий на сумму 44 тысячи долларов США (одна премия $20000, одна премия $7500, одна премия $7000, две премии $3000 и по одной премии в $2000, $1000 и $500). Размер вознаграждения за критическую уязвимость пока не определён.

წყარო: opennet.ru