Google ir izlaidis Chrome tīmekļa pārlūkprogrammas 142. versiju. Ir pieejama arī atvērtā pirmkoda Chromium projekta, kas ir Chrome pamats, stabila versija. Chrome atšķiras no Chromium ar Google logotipu izmantošanu, avāriju paziņojumu sistēmu, moduļiem aizsargāta video satura (DRM) atskaņošanai, automātisku atjauninājumu instalēšanu, vienmēr ieslēgtu smilškastes izolāciju, Google API atslēgu nodrošināšanu un RLZ parametru nosūtīšanu meklēšanas laikā. Tiem, kam atjaunināšanai nepieciešams vairāk laika, astoņas nedēļas tiek uzturēta atsevišķa paplašinātā stabilā versija. Nākamā versija, Chrome 143, ir paredzēta 2. decembrī.
Galvenās izmaiņas pārlūkā Chrome 142:
- Ir iespējota aizsardzība pret piekļuvi lokālajai sistēmai, mijiedarbojoties ar publiskām tīmekļa vietnēm. Piekļūstot tīmekļa vietnei publiskā vai iekšējā tīklā (intranetā), IP adreses Piekļūstot lokālajai sistēmai vai atgriezeniskās saites saskarnei (127.0.0.0/8), pārlūkprogramma lietotājam parādīs dialoglodziņu ar lūgumu apstiprināt. Aizsardzība attiecas uz mēģinājumiem lejupielādēt resursus, fetch() pieprasījumiem un iframe ievietošanu. Aizsardzība pašlaik netiek piemērota savienojumiem, izmantojot WebSockets, WebTransport un WebRTC, bet šīm tehnoloģijām tā tiks pievienota vēlāk.
Uzbrucēji izmanto piekļuvi iekšējiem resursiem, lai veiktu CSRF uzbrukumus maršrutētājiem, piekļuves punktiem, printeriem, korporatīvajām tīmekļa saskarnēm un citām ierīcēm un pakalpojumiem, kas pieņem pieprasījumus tikai no lokālā tīkla. Turklāt iekšējo resursu skenēšanu var izmantot netiešai identifikācijai vai informācijas vākšanai par lokālo tīklu.
- Ir ieviesta vienota, vienkāršota saskarne saistīšanai ar Google kontu un datu, piemēram, saglabāto paroļu un grāmatzīmju, sinhronizēšanai. Sinhronizācija ir integrēta ar konta pieteikšanos un iestatījumos netiek rādīta kā atsevišķa opcija. Lietotāji var savienot Chrome ar savu Google kontu un izmantot to paroļu, grāmatzīmju, pārlūkošanas vēstures un cilņu glabāšanai. Šī funkcija pašlaik ir aktīva dažiem lietotājiem un tiks pakāpeniski paplašināta.
- Tiek izmantots jauns procesa izolācijas modelis — “Avota izolācija”, kurā katrs satura avots (izcelsme — protokola saistījums, domēns un ports, piemēram, "https://foo.example.com"), tiek izolēts atsevišķā renderēšanas procesā. Tā kā izolācijas granularitātes palielināšana var palielināt atmiņas patēriņu un centrālā procesora slodzi, jaunais izolācijas režīms ir iespējots tikai sistēmās ar vairāk nekā 4 GB RAM. Zema enerģijas patēriņa aparatūrā joprojām tiks izmantota vecā izolācijas pieeja, kas atsevišķā procesā izolē visus dažādos satura avotus, kas saistīti ar vienu vietni (piemēram, foo.example.com un bar.example.com).
- На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Versijā, kas paredzēta Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- WebRTC savienojumiem izmantotā DTLS (Datagram Transport Layer Security, TLS analogs UDP) protokola ieviešana ietver postkvantu šifrēšanas algoritmu izmantošanu.
- Aktivizācijas statuss, kas tiek iestatīts lietotāja aktivitātes laikā lapā, tagad tiek saglabāts pēc navigācijas uz citu lapu tajā pašā domēnā. Aktivizācijas saglabāšana vienkāršos vairāku lapu tīmekļa lietojumprogrammu izstrādi un atrisinās tādas problēmas kā ievades fokusa iestatīšana, kad vietne parāda virtuālo tastatūru.
- CSS pseidoklases ":target-before" un ":target-after" ir pievienotas, lai definētu iepriekšējos un nākamos marķierus attiecībā pret pašreizējo ritināšanas pozīciju (":target-current").
- Stilu konteineri (@container) un if() funkcija tagad atbalsta diapazona sintaksi, kas definēta Media Queries Level 4 specifikācijā, kas ļauj izmantot standarta matemātisko salīdzināšanas operatorus un loģiskos operatorus, lai definētu vērtību diapazonus. Piemēram, tagad varat norādīt "@container style(—inner-padding > 1em)" un "background-color: if(style(attr(data-columns, type ) > 2): gaiši zila; citādi: balta);"
- Elementi " " un " " tagad atbalsta atribūtu "interestfor". Šo atribūtu var izmantot, lai aktivizētu darbības, piemēram, uznirstošā loga attēlošanu, kad lietotājs izrāda interesi par elementu. Pārlūkprogramma atpazīst tādus notikumus kā rādītāja novietošanu un turēšanu virs elementa, karsto taustiņu nospiešanu vai pieskāriena turēšanu skārienekrānā kā intereses indikatorus. Kad tiek identificēts elements ar atribūtu "interestfor", pārlūkprogramma ģenerē InterestEvent notikumu.
- Ir veikti uzlabojumi tīmekļa izstrādātāju rīkos. Augšējā labajā stūrī ir pievienota mākslīgā intelekta palīga ātrās palaišanas poga. Konteksta izvēlnes vienums “Jautāt mākslīgajam intelektam” ir pārdēvēts par “Atkļūdot ar mākslīgo intelektu” un paplašināts, iekļaujot iespēju veikt tūlītējas darbības atkarībā no konteksta. Tīmekļa konsolē un koda panelī Gemini mākslīgā intelekta palīgs tagad var ģenerēt ieteikumus ar kodu.
Tīmekļa izstrādātāju rīki tagad integrējas ar Google izstrādātāju programmu (GDP). Izstrādātāji tagad var piekļūt savam GDP profilam tieši no Chrome DevTools un nopelnīt atlīdzību par noteiktu uzdevumu veikšanu šajā saskarnē.
Papildus jaunām funkcijām un kļūdu labojumiem jaunajā versijā ir novērstas 20 ievainojamības. Daudzas no ievainojamībām tika identificētas, veicot automatizētu testēšanu, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL. Netika konstatētas kritiskas problēmas, kas varētu ļaut apiet visus pārlūkprogrammas aizsardzības slāņus un izpildīt kodu ārpus smilškastes vides. Pašreizējās versijas ievainojamību atlīdzību programmas ietvaros Google ir noteicis 20 soda naudas 130 000 ASV dolāru apmērā (divas soda naudas 50 000 ASV dolāru apmērā, viena soda nauda 10 000 ASV dolāru apmērā, trīs soda naudas 3000 ASV dolāru apmērā, divas soda naudas 2000 ASV dolāru apmērā un trīs soda naudas 1000 ASV dolāru apmērā). Astoņu sodu apmēri vēl nav noteikti.
Turklāt Blink dzinējā ir identificēta neaizlāpota ievainojamība, kuras dēļ pārlūkprogramma avarē un sasalst, izpildot noteiktu JavaScript kodu. Ievainojamību rada renderēšanas dzinēja arhitektūras problēmas, kas saistītas ar ātruma ierobežojuma trūkumu "document.title" īpašībai atjaunināšanai. Šis ierobežojuma trūkums ļauj "document.title" izmantot, lai veiktu desmitiem miljonu izmaiņu DOM sekundē. Tas izraisa saskarnes sasalšanu dažu sekunžu laikā galvenā pavediena bloķēšanas un ievērojama atmiņas patēriņa dēļ. Pēc 15–60 sekundēm pārlūkprogramma avarē.
Avots: opennet.ru
