Google huet d'Versioun 142 vum Chrome Webbrowser erausbruecht. Eng stabil Versioun vum Open-Source Chromium Projet, der Grondlag vu Chrome, ass och verfügbar. Chrome ënnerscheet sech vu Chromium duerch seng Notzung vu Google Logoen, e Crash Notifikatiounssystem, Moduler fir d'Ofspille vu kopéiergeschützte Videoinhalter (DRM), automatesch Update Installatioun, Always-On Sandbox Isolatioun, Bereitstellung vu Google API Schlësselen, an d'Iwwerginn vun RLZ Parameteren während der Sich. Fir déi, déi méi Zäit brauchen fir ze aktualiséieren, gëtt eng separat Extended Stable Branch fir aacht Wochen ënnerhalen. Déi nächst Versioun, Chrome 143, ass fir den 2. Dezember geplangt.
Grouss Ännerungen am Chrome 142:
- De Schutz vum lokale Systemzougang ass aktivéiert wann Dir mat ëffentleche Websäiten interagéiert. Wann Dir op eng Websäit an engem ëffentlechen oder internen Netzwierk (Intranet) zougräift, Meng IP Adress Beim Zougrëff op de lokale System oder d'Loopback-Interface (127.0.0.0/8) weist de Browser eng Dialogbox un, déi de Benotzer ëm Bestätegung freet. Versich fir Ressourcen erofzelueden, fetch()-Ufroen an iframe-Insertiounen sinn ofgedeckt. De Schutz gëtt de Moment net op Verbindungen iwwer WebSockets, WebTransport a WebRTC ugewannt, awer gëtt spéider fir dës Technologien derbäigesat.
Attacker notzen den Zougang zu interne Ressourcen aus, fir CSRF-Attacken op Routeren, Zougangspunkten, Dréckeren, Firmenwebinterfaces an aner Apparater a Servicer duerchzeféieren, déi nëmmen Ufroen aus dem lokalen Netzwierk akzeptéieren. Ausserdeem kann d'Scannen vun interne Ressourcen fir indirekt Identifikatioun benotzt ginn oder fir Informatiounen iwwer dat lokalt Netzwierk ze sammelen.
- Et gouf eng eenzeg, vereinfacht Interface agefouert fir d'Verknëppung mat engem Google-Kont an d'Synchroniséierung vun Daten, wéi gespäichert Passwierder a Lieszeechen. D'Synchroniséierung ass an d'Kontoummeldung integréiert a gëtt net als separat Optioun an den Astellungen presentéiert. Benotzer kënnen Chrome mat hirem Google-Kont verbannen a benotzen fir Passwierder, Lieszeechen, Browserverlaf an Tabs ze späicheren. Dës Funktioun ass de Moment fir verschidde Benotzer aktiv a gëtt no an no ausgebaut.
- E neit Prozessisolatiounsmodell gëtt benotzt - "Origin Isolation", bei deem all Inhaltsquell (Origin - eng Protokollbindung, Domain an de Port, zum Beispill "https://foo.example.com"), gëtt an engem separaten Renderingprozess isoléiert. Well d'Erhéijung vun der Isolatiounsgranularitéit zu engem erhéichte Speicherverbrauch a CPU-Laascht féiere kann, ass den neien Isolatiounsmodus nëmmen op Systemer mat méi wéi 4 GB RAM aktivéiert. Op Hardware mat nidderegem Energieverbrauch gëtt den ale Isolatiounsmodus weider benotzt, deen all verschidden Inhaltsquellen, déi mat enger eenzeger Säit verbonne sinn (zum Beispill foo.example.com a bar.example.com), an engem separaten Prozess isoléiert.
- Op Systemer mat Windows и macOSFir Apps, déi keng zentraliséiert Chrome-Verwaltung benotzen, hu mir eng automatesch Deaktivéierung vun zwangsinstalléierte Browser-Add-ons implementéiert, déi géint kleng Richtlinne vum Chrome Web Store verstoussen. Zu de klenge Verstéiss gehéieren potenziell Schwachstelle, Push-baséiert Add-ons ouni d'Wëssen vum Benotzer, Manipulatioun vu Metadaten, Verstéiss géint d'Richtlinne fir Benotzerdaten a falsch Funktionalitéit. D'Benotzer kënnen deaktivéiert Add-ons restauréieren, wa se dat wëllen.
- An der Versioun fir AndroidÄhnlech wéi bei Desktop-Builds gouf eng Warnung iwwer betrügeresch Säiten implementéiert, déi vun engem grousse Sproochmodell baséiert op Inhaltsanalyse entdeckt ginn. KI gëtt am Enhanced Safe Browsing Modus vum Browser benotzt. Den KI-Modell leeft op der Clientsäit, awer wann verdächtegt fragwürdeg Inhalter entdeckt ginn, gëtt eng zousätzlech Kontroll op de Google Serveren duerchgefouert.
- D'Ëmsetzung vum DTLS (Datagram Transport Layer Security, en TLS-Analog fir UDP) Protokoll, deen fir WebRTC-Verbindungen benotzt gëtt, enthält d'Benotzung vu Post-Quantenverschlësselungsalgorithmen.
- Den Aktivéierungsstatus, deen während der Benotzeraktivitéit op enger Säit festgeluecht gouf, gëtt elo erhale nodeems op eng aner Säit am selwechten Domain navigéiert gouf. D'Erhale vun der Aktivéierung vereinfacht d'Entwécklung vu Webapplikatioune mat méi Säiten a léist Problemer wéi d'Astelle vum Inputfokus wann d'Websäit hir virtuell Tastatur ugewise gëtt.
- D'CSS-Pseudo-Klassen ":target-before" an ":target-after" goufen derbäigesat fir déi viregt an nächst Markéierungen am Verhältnes zu der aktueller Scrollpositioun (":target-current") ze definéieren.
- Style Container (@container) an d'if() Funktioun ënnerstëtzen elo d'Range Syntax, déi an der Media Queries Level 4 Spezifikatioun definéiert ass, déi d'Benotzung vu Standard mathematesche Vergläichsoperatoren a logeschen Operatoren erlaabt fir Wäertberäicher ze definéieren. Zum Beispill kënnt Dir elo "@container style(—inner-padding > 1em)" an "background-color: if(style(attr(data-columns, type" spezifizéieren. ) > 2): hellblo; soss: wäiss);"
- D' Elementer " " an " " ënnerstëtzen elo den Attribut "interestfor". Dësen Attribut kann benotzt ginn, fir Aktiounen auszeléisen, wéi zum Beispill d'Uweise vun engem Popup-Fënster, wann de Benotzer Interesse un dem Element weist. De Browser erkennt Evenementer wéi de Mauszeiger iwwer dem Element ze halen an ze beweegen, Hotkeys ze drécken oder eng Touchscreen-Tastatur ze halen als Indikatoren fir Interesse. Wann en Element mam Attribut "interestfor" identifizéiert gëtt, generéiert de Browser en InterestEvent.
- Verbesserunge goufen un den Tools fir Webentwéckler gemaach. E Schnellstartknäppchen fir den KI-Assistent gouf an der ieweschter rechter Ecke bäigefüügt. Den Kontextmenüpunkt "AI froen" gouf a "Debug with AI" ëmbenannt an erweidert fir d'Méiglechkeet ze bidden, direkt Aktiounen ofhängeg vum Kontext auszeféieren. An der Webkonsole an am Codepanel kann den Gemini KI-Assistent elo Empfehlungen mat Code generéieren.
Webentwéckler-Tools integréiere sech elo mam Google Developer Program (GDP). Entwéckler kënnen elo direkt vun Chrome DevTools aus op hire GDP-Profil zougräifen a Beloununge verdéngen, wann se spezifesch Aufgaben an dëser Interface ofschléissen.
Nieft neie Funktiounen a Bugfixes adresséiert déi nei Versioun 20 Schwachstellen. Vill vun de Schwachstellen goufen duerch automatiséiert Tester mat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer an AFL identifizéiert. Et goufen keng kritesch Problemer identifizéiert, déi et erméiglechen, all Schichten vum Browserschutz ze ëmgoen an Code ausserhalb vun der Sandbox-Ëmfeld auszeféieren. Als Deel vum Schwachstelle-Bounty-Programm fir déi aktuell Versioun huet Google 20 Belounungen am Gesamtwert vun 130.000 Dollar festgeluecht (zwee Belounungen vun 50.000 Dollar, ee Belounung vun 10000 Dollar, dräi Belounungen vun 3000 Dollar, zwee Belounungen vun 2000 Dollar an dräi Belounungen vun 1000 Dollar). D'Héicht vun aacht vun de Belounungen ass nach net festgeluecht ginn.
Zousätzlech gouf eng net gepatcht Schwachstelle am Blink-Motor identifizéiert, déi dozou féiert, datt de Browser beim Ausféiere vu bestëmmte JavaScript-Code ofstürzt a friert. D'Schwachstelle gëtt duerch architektonesch Problemer am Rendering-Motor verursaacht, déi mat der fehlender Geschwindegkeetslimit fir d'Aktualiséierung vun der "document.title"-Eegeschaft zesummenhänken. Dës fehlend Limitatioun erlaabt et, datt "document.title" benotzt gëtt, fir Zéngmillioune vun Ännerungen um DOM pro Sekonn ze maachen. Dëst féiert dozou, datt d'Interface bannent e puer Sekonnen afréiert, well den Haaptthread blockéiert ass a vill Speicher verbraucht gëtt. No 15-60 Sekonnen ofstürzt de Browser.
Source: opennet.ru
