Chrome 145 laidiens

Google ir izlaidis Chrome tīmekļa pārlūkprogrammas 145. versiju. Ir pieejama arī atvērtā pirmkoda Chromium projekta, kas ir Chrome pamats, stabila versija. Chrome atšķiras no Chromium ar Google logotipu izmantošanu, avāriju paziņojumu sistēmu, moduļiem aizsargāta video satura (DRM) atskaņošanai, automātisku atjauninājumu instalēšanu, vienmēr ieslēgtu smilškastes izolāciju, Google API atslēgu nodrošināšanu un RLZ parametru izmantošanu meklēšanas laikā. Tiem, kam atjaunināšanai nepieciešams vairāk laika, astoņas nedēļas tiek uzturēta atsevišķa paplašinātā stabilā versija. Nākamā versija, Chrome 146, ir paredzēta 10. martā.

Galvenās izmaiņas pārlūkā Chrome 145:

• Pievienots atbalsts JPEG XL attēlu formātam, kas dekodēts, izmantojot jxl-rs bibliotēku ar JPEG-XL Rust ieviešanu. JPEG XL atbalsts pašlaik pēc noklusējuma ir atspējots un ir nepieciešams iespējot iestatījumu "chrome://flags/#enable-jxl-image-format".
• Mēs esam turpinājuši attīstīt mākslīgā intelekta režīmu, kas ļauj mijiedarboties ar mākslīgā intelekta aģentu no adreses joslas vai no lapas, kas tiek parādīta, atverot jaunu cilni. Mākslīgā intelekta režīms ļauj uzdot sarežģītus jautājumus dabiskā valodā un saņemt atbildes, pamatojoties uz informācijas apkopojumu no atbilstošākajām lapām par noteiktu tēmu. Ja nepieciešams, lietotājs var precizēt informāciju ar uzvedinošiem jautājumiem. Šis režīms ļauj arī uzdot jautājumus par lapas saturu tieši no adreses joslas. Pārlūkprogrammā Chrome 145 mākslīgā intelekta režīms ir pieejams operētājsistēmām Android un iOS. Lietotājiem Kanādā, Indijā un Jaunzēlandē Gemini tērzēšanas robots tagad ir iespējots pēc noklusējuma (lietojot angļu valodu).
• Ir pievienots DBSC (Device Bound Session Credentials) mehānisms, kas ļauj saistīt vietnes autentifikācijas sesiju ar konkrētu ierīci, lai sarežģītu uzbrukumus no citām sistēmām, izmantojot pārtvertus sesijas sīkfailus. Lai izveidotu ar ierīci saistītu sesiju, tiek piedāvāta HTTP galvene "Secure-Session-Registration". Šī aizsardzības metode ietver divu kriptogrāfisko atslēgu nodrošināšanu, kas saistītas ar pašreizējo ierīci, tiek ģenerētas savienojuma laikā un saglabātas TPM (Trusted Platform Module). Sesijā tiek izmantoti sīkfaili ar īsu darbības laiku, kas periodiski tiek atjaunināti, izmantojot privāto atslēgu, un kurus var pārbaudīt, izmantojot publisko atslēgu.
• Iestatījums, kas ļāva lietotājiem atspējot piespiedu pārlūkprogrammas pievienojumprogrammu bloķēšanu, ja tās pārkāpj Chrome interneta veikala politikas, ir noņemts. Nelieli pārkāpumi ietver potenciālas ievainojamības, pievienojumprogrammu izvietošanu bez lietotāja ziņas, metadatu manipulācijas, lietotāju datu politikas pārkāpumus un maldinošu funkcionalitāti.
• Android versijā WebGPU Javascript API ir atspējots, ja ir iespējots Android uzlabotās aizsardzības režīms (AAPM). Tīmekļa vietnes, kas izmanto WebGPU 3D satura renderēšanai (piemēram, Google Maps), var izmantot lēnākas alternatīvas, piemēram, WebGL (testos par 5.78 % lēnāks). Rekvizītu navigator.gpu var izmantot, lai noteiktu, vai WebGPU ir atspējots.
• Android versijā, ja ir iespējota uzlabotā drošā pārlūkošana, tiek veikta lokāla tīmekļa lapas izskata analīze, lai noteiktu krāpšanas pazīmes. Ja lokālās pārbaudes laikā tiek atklāts aizdomīgs saturs, tiek veikta papildu pārbaude Google serveros, un, ja tā tiek apstiprināta, lietotājam tiek parādīts brīdinājums.
• Ir pievienota Origin API, kas nodrošina Origin objektu, kurš ievieš Web Origin koncepciju un piedāvā metodes Web Origin salīdzināšanai, serializācijai un parsēšanai. Termins "Web Origin" ir definēts RFC 6454, lai atšķirtu satura izolāciju no uzticamības robežām. Web Origin ietver URL daļu ar protokola nosaukumu, resursdatora nosaukumu un porta numuru (piemēram, https://opennet.ru). Šis jaunais API tika ieviests, lai apvienotu darbības ar Web Origins un novērstu ievainojamības, ko rada nepareiza serializētu Web Origin ASCII attēlojumu salīdzināšana, nosakot, vai resursi pieder vienai un tai pašai vietnei.
• Piekļuves tiesības lokālajai sistēmai, mijiedarbojoties ar publiskām vietnēm, ir atdalītas. Pieprasījumi no vietnes uz IP adreses Lokālais tīkls (intranets vai iekšējās adreses) un atgriezeniskās saites saskarne (127.0.0.0/8) tagad tiek apstrādātas, izmantojot dažādas atļaujas (lokālais tīkls un atgriezeniskās saites tīkls), un lietotājam ir jāapstiprina darbība īpašā dialoglodziņā. Aizsardzība attiecas uz mēģinājumiem lejupielādēt resursus, fetch() pieprasījumiem un iframe ievietošanu. Uzbrucēji izmanto piekļuvi iekšējiem resursiem, lai veiktu CSRF uzbrukumus maršrutētājiem, piekļuves punktiem, printeriem, korporatīvajām tīmekļa saskarnēm un citām ierīcēm un pakalpojumiem, kas pieņem pieprasījumus tikai no lokālā tīkla. Turklāt iekšējo resursu skenēšanu var izmantot netiešai identifikācijai vai informācijas vākšanai par lokālo tīklu.
• Iestatījums UserAgentReduction, kas ļāva pārlūkprogrammai atgriezties pie sākotnējā lietotāja aģenta HTTP galvenes un JavaScript parametriem navigator.userAgent, navigator.appVersion un navigator.platform, ir noņemts. Pārlūkprogramma tagad vienmēr pārsūta saīsināto lietotāja aģenta galveni bez detalizētas platformas informācijas (piemēram, "Android 16; S", nevis "Android 16; SM-A205U").
• Iebūvētais PDF skatītājs tagad atbalsta dokumentu saglabāšanu Google diska mākoņkrātuvē. Google diskā dokumenti no pārlūkprogrammas Chrome tiek saglabāti mapē “Saglabāts no pārlūkprogrammas Chrome”.
• LayoutShift API, kas izseko DOM elementu pozīcijas izmaiņas ekrānā, ir pārslēgts uz informācijas rādīšanu CSS pikseļos, nevis ekrāna pikseļos. CSS pikseļi ņem vērā ekrāna DPI un ir vizuāli vienādi visos ekrānos, tostarp monitoros ar augstu pikseļu blīvumu. Šīs izmaiņas tika veiktas, lai saskaņotu Chrome ar citām pārlūkprogrammām.
• Kontrolētā kadra API ir ieviesta metode WebRequest.SecurityInfo, kas ļauj tīmekļa lietojumprogrammai pārtvert HTTPS, WSS vai WebTransport pieprasījumu serverim un iegūt sertifikāta pirkstu nospiedumu. serveris un izmantojiet to, lai manuāli pārbaudītu sertifikātu, kas tiek izmantots tiešam savienojumam ar to pašu serveri, izmantojot TCP/UDP.
• Pievienots atbalsts CSS īpašībām kolonnu aptīšanai un kolonnu augstumam, kas definētas CSS Multi-column Layout 2 specifikācijā. Īpašība kolonnu aptīšana ļauj kolonnām aptīt jaunā rindā, nevis ritināt horizontāli, ja kolonnas neietilpst augstumā, kas norādīts īpašībā kolonnu augstums.
• Pievienota CSS īpašība text-justify, kas ļauj norādīt teksta izlīdzināšanas veidu, izmantojot "text-align: justify";
• CSS burtu atstarpes un vārdu atstarpes īpašības ļauj norādīt atkāpes lielumu procentos.
• JavaScript Map un WeakMap objekti ievieš "upsert" specifikāciju, vienkāršojot darbu ar atslēgu/vērtību pāru kolekcijām. Ir pievienotas metodes getOrInsert un getOrInsertComputed, kas atgriež vērtību, kas jau atrodas kolekcijā, kura ir saistīta ar norādīto atslēgu, vai izveido jaunu ierakstu, ja atslēga netiek atrasta.
• IndexedDB API ieviešana ir pārrakstīta, izmantojot SQLite datubāzi kā aizmugursistēmu (iepriekšējā ieviešana balstījās uz LevelDB atsevišķos failos). Jaunā ieviešana pašlaik tiek izmantota tikai atmiņas kontekstos, piemēram, inkognito režīmā.
• Ir uzlaboti tīmekļa izstrādātāju rīki. Tagad tīkla pārbaudes saskarnes panelī “Pieprasījuma nosacījumi” pēc noklusējuma ir iespējota iespēja ierobežot atsevišķu tīkla pieprasījumu ātrumu.

Papildus jaunām funkcijām un kļūdu labojumiem jaunajā versijā ir novērstas 11 ievainojamības. Daudzas no ievainojamībām tika identificētas, veicot automatizētu testēšanu, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL. Netika konstatētas kritiskas problēmas, kas varētu ļaut apiet visus pārlūkprogrammas aizsardzības slāņus un izpildīt kodu ārpus smilškastes vides. Pašreizējās versijas ievainojamību atlīdzību programmas ietvaros Google ir izveidojis 11 atlīdzības un piešķīris 18.5 500 ASV dolāru (vienu atlīdzību par katru 8000, 5000, 2000 un 4 ASV dolāru apmērā, kā arī trīs atlīdzības 1000 ASV dolāru apmērā). Četru atlīdzību summa vēl nav noteikta.

Avots: opennet.ru