Google huet d'Versioun 142 vum Chrome Webbrowser erausbruecht. Eng stabil Versioun vum Open-Source Chromium Projet, der Grondlag vu Chrome, ass och verfĂŒgbar. Chrome Ă«nnerscheet sech vu Chromium duerch seng Notzung vu Google Logoen, e Crash Notifikatiounssystem, Moduler fir d'Ofspille vu kopĂ©iergeschĂŒtzte Videoinhalter (DRM), automatesch Update Installatioun, Always-On Sandbox Isolatioun, Bereitstellung vu Google API SchlĂ«sselen, an d'Iwwerginn vun RLZ Parameteren wĂ€hrend der Sich. Fir dĂ©i, dĂ©i mĂ©i ZĂ€it brauchen fir ze aktualisĂ©ieren, gĂ«tt eng separat Extended Stable Branch fir aacht Wochen Ă«nnerhalen. DĂ©i nĂ€chst Versioun, Chrome 143, ass fir den 2. Dezember geplangt.
Grouss Ănnerungen am Chrome 142:
- De Schutz vum lokale Systemzougang ass aktivéiert wann Dir mat ëffentleche WebsÀiten interagéiert. Wann Dir op eng WebsÀit an engem ëffentlechen oder internen Netzwierk (Intranet) zougrÀift, Meng IP Adress Beim Zougrëff op de lokale System oder d'Loopback-Interface (127.0.0.0/8) weist de Browser eng Dialogbox un, déi de Benotzer ëm BestÀtegung freet. Versich fir Ressourcen erofzelueden, fetch()-Ufroen an iframe-Insertiounen sinn ofgedeckt. De Schutz gëtt de Moment net op Verbindungen iwwer WebSockets, WebTransport a WebRTC ugewannt, awer gëtt spéider fir dës Technologien derbÀigesat.
Attacker notzen den Zougang zu interne Ressourcen aus, fir CSRF-Attacken op Routeren, Zougangspunkten, Dréckeren, Firmenwebinterfaces an aner Apparater a Servicer duerchzeféieren, déi nëmmen Ufroen aus dem lokalen Netzwierk akzeptéieren. Ausserdeem kann d'Scannen vun interne Ressourcen fir indirekt Identifikatioun benotzt ginn oder fir Informatiounen iwwer dat lokalt Netzwierk ze sammelen.
- Et gouf eng eenzeg, vereinfacht Interface agefouert fir d'Verknëppung mat engem Google-Kont an d'Synchroniséierung vun Daten, wéi gespÀichert Passwierder a Lieszeechen. D'Synchroniséierung ass an d'Kontoummeldung integréiert a gëtt net als separat Optioun an den Astellungen presentéiert. Benotzer kënnen Chrome mat hirem Google-Kont verbannen a benotzen fir Passwierder, Lieszeechen, Browserverlaf an Tabs ze spÀicheren. Dës Funktioun ass de Moment fir verschidde Benotzer aktiv a gëtt no an no ausgebaut.
- E neit Prozessisolatiounsmodell gëtt benotzt - "Origin Isolation", bei deem all Inhaltsquell (Origin - eng Protokollbindung, Domain an de Port, zum Beispill "https://foo.example.com"), gëtt an engem separaten Renderingprozess isoléiert. Well d'Erhéijung vun der Isolatiounsgranularitéit zu engem erhéichte Speicherverbrauch a CPU-Laascht féiere kann, ass den neien Isolatiounsmodus nëmmen op Systemer mat méi wéi 4 GB RAM aktivéiert. Op Hardware mat nidderegem Energieverbrauch gëtt den ale Isolatiounsmodus weider benotzt, deen all verschidden Inhaltsquellen, déi mat enger eenzeger SÀit verbonne sinn (zum Beispill foo.example.com a bar.example.com), an engem separaten Prozess isoléiert.
- Op Systemer mat Windows О macOSFir Apps, déi keng zentraliséiert Chrome-Verwaltung benotzen, hu mir eng automatesch Deaktivéierung vun zwangsinstalléierte Browser-Add-ons implementéiert, déi géint kleng Richtlinne vum Chrome Web Store verstoussen. Zu de klenge Verstéiss gehéieren potenziell Schwachstelle, Push-baséiert Add-ons ouni d'Wëssen vum Benotzer, Manipulatioun vu Metadaten, Verstéiss géint d'Richtlinne fir Benotzerdaten a falsch Funktionalitéit. D'Benotzer kënnen deaktivéiert Add-ons restauréieren, wa se dat wëllen.
- An der Versioun fir AndroidĂhnlech wĂ©i bei Desktop-Builds gouf eng Warnung iwwer betrĂŒgeresch SĂ€iten implementĂ©iert, dĂ©i vun engem grousse Sproochmodell basĂ©iert op Inhaltsanalyse entdeckt ginn. KI gĂ«tt am Enhanced Safe Browsing Modus vum Browser benotzt. Den KI-Modell leeft op der ClientsĂ€it, awer wann verdĂ€chtegt fragwĂŒrdeg Inhalter entdeckt ginn, gĂ«tt eng zousĂ€tzlech Kontroll op de Google Serveren duerchgefouert.
- D'Ămsetzung vum DTLS (Datagram Transport Layer Security, en TLS-Analog fir UDP) Protokoll, deen fir WebRTC-Verbindungen benotzt gĂ«tt, enthĂ€lt d'Benotzung vu Post-QuantenverschlĂ«sselungsalgorithmen.
- Den Aktivéierungsstatus, deen wÀhrend der Benotzeraktivitéit op enger SÀit festgeluecht gouf, gëtt elo erhale nodeems op eng aner SÀit am selwechten Domain navigéiert gouf. D'Erhale vun der Aktivéierung vereinfacht d'Entwécklung vu Webapplikatioune mat méi SÀiten a léist Problemer wéi d'Astelle vum Inputfokus wann d'WebsÀit hir virtuell Tastatur ugewise gëtt.
- D'CSS-Pseudo-Klassen ":target-before" an ":target-after" goufen derbÀigesat fir déi viregt an nÀchst Markéierungen am VerhÀltnes zu der aktueller Scrollpositioun (":target-current") ze definéieren.
- Style Container (@container) an d'if() Funktioun Ă«nnerstĂ«tzen elo d'Range Syntax, dĂ©i an der Media Queries Level 4 Spezifikatioun definĂ©iert ass, dĂ©i d'Benotzung vu Standard mathematesche VerglĂ€ichsoperatoren a logeschen Operatoren erlaabt fir WĂ€ertberĂ€icher ze definĂ©ieren. Zum Beispill kĂ«nnt Dir elo "@container style(âinner-padding > 1em)" an "background-color: if(style(attr(data-columns, type" spezifizĂ©ieren. ) > 2): hellblo; soss: wĂ€iss);"
- D' Elementer " " an " " ënnerstëtzen elo den Attribut "interestfor". Dësen Attribut kann benotzt ginn, fir Aktiounen auszeléisen, wéi zum Beispill d'Uweise vun engem Popup-Fënster, wann de Benotzer Interesse un dem Element weist. De Browser erkennt Evenementer wéi de Mauszeiger iwwer dem Element ze halen an ze beweegen, Hotkeys ze drécken oder eng Touchscreen-Tastatur ze halen als Indikatoren fir Interesse. Wann en Element mam Attribut "interestfor" identifizéiert gëtt, generéiert de Browser en InterestEvent.
- Verbesserunge goufen un den Tools fir WebentwĂ©ckler gemaach. E SchnellstartknĂ€ppchen fir den KI-Assistent gouf an der ieweschter rechter Ecke bĂ€igefĂŒĂŒgt. Den KontextmenĂŒpunkt "AI froen" gouf a "Debug with AI" Ă«mbenannt an erweidert fir d'MĂ©iglechkeet ze bidden, direkt Aktiounen ofhĂ€ngeg vum Kontext auszefĂ©ieren. An der Webkonsole an am Codepanel kann den Gemini KI-Assistent elo Empfehlungen mat Code generĂ©ieren.
Webentwéckler-Tools integréiere sech elo mam Google Developer Program (GDP). Entwéckler kënnen elo direkt vun Chrome DevTools aus op hire GDP-Profil zougrÀifen a Beloununge verdéngen, wann se spezifesch Aufgaben an dëser Interface ofschléissen.
Nieft neie Funktiounen a Bugfixes adressĂ©iert dĂ©i nei Versioun 20 Schwachstellen. Vill vun de Schwachstellen goufen duerch automatisĂ©iert Tester mat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer an AFL identifizĂ©iert. Et goufen keng kritesch Problemer identifizĂ©iert, dĂ©i et ermĂ©iglechen, all Schichten vum Browserschutz ze Ă«mgoen an Code ausserhalb vun der Sandbox-Ămfeld auszefĂ©ieren. Als Deel vum Schwachstelle-Bounty-Programm fir dĂ©i aktuell Versioun huet Google 20 Belounungen am Gesamtwert vun 130.000 Dollar festgeluecht (zwee Belounungen vun 50.000 Dollar, ee Belounung vun 10000 Dollar, drĂ€i Belounungen vun 3000 Dollar, zwee Belounungen vun 2000 Dollar an drĂ€i Belounungen vun 1000 Dollar). D'HĂ©icht vun aacht vun de Belounungen ass nach net festgeluecht ginn.
ZousĂ€tzlech gouf eng net gepatcht Schwachstelle am Blink-Motor identifizĂ©iert, dĂ©i dozou fĂ©iert, datt de Browser beim AusfĂ©iere vu bestĂ«mmte JavaScript-Code ofstĂŒrzt a friert. D'Schwachstelle gĂ«tt duerch architektonesch Problemer am Rendering-Motor verursaacht, dĂ©i mat der fehlender Geschwindegkeetslimit fir d'AktualisĂ©ierung vun der "document.title"-Eegeschaft zesummenhĂ€nken. DĂ«s fehlend Limitatioun erlaabt et, datt "document.title" benotzt gĂ«tt, fir ZĂ©ngmillioune vun Ănnerungen um DOM pro Sekonn ze maachen. DĂ«st fĂ©iert dozou, datt d'Interface bannent e puer Sekonnen afrĂ©iert, well den Haaptthread blockĂ©iert ass a vill Speicher verbraucht gĂ«tt. No 15-60 Sekonnen ofstĂŒrzt de Browser.
Source: opennet.ru
