Google famoahana navigateur web ... niara- famotsorana tsy tapaka ny tetikasa maimaim-poana , izay fototry ny Chrome. Chrome navigateur ny fampiasana ny logos Google, ny fisian'ny rafitra iray handefasana fampandrenesana raha misy fianjerana, ny fahafahana misintona mody Flash amin'ny fangatahana, maody milalao votoaty video voaaro (DRM), rafitra fanavaozana mandeha ho azy, ary fandefasana amin'ny fikarohana . Ny famoahana manaraka ny Chrome 77 dia kasaina amin'ny 10 septambra.
:
- amin'ny alàlan'ny default, ny fomba fiarovana amin'ny famindrana Cookies avy amin'ny antoko fahatelo, izay raha tsy misy ny toetra SameSite ao amin'ny lohapejy Set-Cookie amin'ny alàlan'ny default dia mametraka ny sanda "SameSite=Lax", mametra ny fandefasana Cookies ho an'ny fampidirana avy amin'ny fahatelo- tranokalan'ny antoko (saingy mbola afaka manafoana ny famerana ny tranokala amin'ny fametrahana mazava tsara rehefa mametraka ny sandan'ny Cookie SameSite=Tsy misy). Hatramin'izao, ny navigateur dia nandefa Cookie ho an'ny fangatahana rehetra amin'ny tranokala iray izay nametrahana Cookie, na dia nisy tranonkala hafa nosokafana tamin'ny voalohany, ary ny fangatahana dia natao ankolaka tamin'ny fametahana sary na tamin'ny alàlan'ny iframe. Amin'ny fomba 'Lax', ny fandefasana Cookie dia voasakana ho an'ny fangatahana sub-site, toy ny fangatahana sary na fampidinana votoaty iframe, izay matetika ampiasaina hanombohana fanafihana CSRF sy hanaraha-maso ny fihetsiky ny mpampiasa eo amin'ny tranokala.
- Nitsahatra tsy nilalao votoaty Flash tamin'ny alàlan'ny default. Mandra-pahatongan'ny famoahana ny Chrome 87, antenaina amin'ny Desambra 2020, ny fanohanana Flash dia azo averina amin'ny sehatra (Advanced> Privacy and Security> Site Settings), arahin'ny fanamafisana mazava ny fampandehanana ny votoatin'ny Flash ho an'ny tranokala tsirairay (ny fanamafisana dia tadidio mandra-panomboka ny navigateur). Ny fanesorana tanteraka ny kaody hanohanana Flash dia mifanaraka amin'ny drafitra nambaran'i Adobe teo aloha mba hampitsahatra ny fanohanana ny teknolojia Flash amin'ny 2020;
- Ho an'ny orinasa, ny fahafahana mikaroka ireo rakitra ao amin'ny fitahirizana Google Drive dia nampiana ao amin'ny bara adiresy;
- Nanomboka Dokam-barotra tsy mety amin'ny Chrome izay manelingelina ny fiheverana ny votoaty ary tsy mahafeno ny fepetra novolavolain'ny Coalition for Better Advertising;
- Napetraka ny fomba fampifanarahana amin'ny fifindrana amina pejy vaovao, izay voadio ny atiny ankehitriny ary tsy miseho avy hatrany ny afara fotsy, fa aorian'ny fahatarana kely. Ho an'ny pejy mipetaka haingana, ny fikikisana dia miteraka flickering fotsiny ary tsy manome ny enta-mavesatra amin'ny fampahafantarana ny mpampiasa fa misy pejy vaovao hapetraka. Ao amin'ny famoahana vaovao, raha misokatra haingana ny pejy iray ary misy fahatarana kely, dia aseho amin'ny toerany ny pejy vaovao, manolo tsy misy dikany ny teo aloha (ohatra, mety rehefa mifindra amin'ny pejy hafa amin'ny tranokala mitovy amin'ny endrika. ary ny loko loko). Raha toa ka maka fotoana kely hitan'ny mpampiasa ny fanehoana ny pejy, dia ho voadio mialoha toy ny teo aloha ny efijery;
- Nohamafisina ny fepetra hamaritana ny asan'ny mpampiasa amin'ny pejy iray. Ny Chrome dia mamela anao hampiseho fampandrenesana mipoitra sy milalao votoaty horonan-tsary/peo manelingelina raha tsy aorian'ny fihetsiky ny mpampiasa ao amin'ny pejy. Miaraka amin'ny famoahana vaovao, ny fanindriana ny Escape, ny fitetezana rohy, ary ny fikasihana ny efijery dia tsy raisina ho toy ny fifaneraserana mampavitrika pejy (mitaky tsindry mazava, fanoratana, na horonan-taratasy);
- Media query “prefers-color-scheme”, izay ahafahan'ny tranonkala mamaritra raha mampiasa lohahevitry ny maizina ny navigateur ary mamela ho azy ny lohahevitra maizina ho an'ilay tranokala jerena.
- Rehefa alefanao ny lohahevitra maizina ao amin'ny builds for Linux, aseho amin'ny loko maizina izao ny bara adiresy;
- ny fahafahana mamaritra ny fanokafana pejy amin'ny fomba incognito amin'ny alàlan'ny fanodikodinana miaraka amin'ny FileSystem API, izay nampiasain'ny famoahana sasany teo aloha mba hametrahana famandrihana karama raha toa ka misy fanokafana pejy tsy misy fitadidiana ny Cookies (mba tsy mampiasa fomba manokana ny mpampiasa mba hialana amin'ny mekanika amin'ny fanomezana fidirana maimaim-poana). Teo aloha, rehefa miasa amin'ny mode incognito, ny navigateur dia nanakana ny fidirana amin'ny FileSystem API mba hisorohana ny angon-drakitra tsy hivezivezy eo anelanelan'ny fotoam-pivoriana, izay nahafahan'ny JavaScript hanamarina ny fahafaha-mitahiry angona amin'ny alàlan'ny FileSystem API ary, raha misy tsy fahombiazana, hitsara ny asan'ny mode incognito. Ankehitriny ny fidirana amin'ny FileSystem API dia tsy voasakana, ary voadio ny atiny rehefa tapitra ny fivoriana;
- fanamby vaovao ao
API Fangatahana fandoavana sy Mpanome fandoavana. Misy fomba vaovao changePaymentMethod() niseho tao amin'ny PaymentRequestEvent zavatra, ary ny mpandrindra hetsika vaovao fomba fandoavam-bola dia nampiana ao amin'ny PaymentRequest zavatra, izay mamela ny tranokala fanangonana fandoavana na fampiharana tranonkala hamaly ny mpampiasa manova ny fomba fandoavam-bola. Ny famoahana vaovao dia manamora kokoa ny API fandoavana ny fitsapana ny rindranasa amin'ny alàlan'ny mari-pankasitrahana nosoniavin'ny tena. Raha tsy miraharaha ny fahadisoana fanamarinana fanamarinana mandritra ny fampandrosoana, dia nampiana safidy andalana vaovao "—ignore-certificate-errors"; - Ao amin'ny bara adiresy eo akaikin'ny bokotra hanampiana tsoratadidy ho an'ny rindranasa an-tranonkala mandeha amin'ny fomba Desktop Progressive Web Apps (PWA), hitsin-dàlana amin'ny fametrahana rindranasa an-tranonkala amin'ny rafitra mba hiasa ho programa mitokana;
- Ho an'ny fitaovana finday, azo atao ny mifehy ny fampiratiana mini-panel miaraka amin'ny fanasana hampiditra fampiharana amin'ny efijery an-trano. Ho an'ny rindranasa PWA (Progressive Web App), dia aseho ho azy ny bar mini default rehefa manokatra ilay tranokala ianao. Ny mpamorona izao dia afaka mandà tsy hampiseho an'ity tontonana ity ary mampihatra ny bitsika fametrahana azy manokana, izay ahafahany mametraka mpitantana hetsika
beforeinstallprompt ary asio antso mba hisorohanaDefault(); - Nampitombo ny fahamaroan'ny fanamarinana fanavaozana ho an'ireo napetraka ao amin'ny tontolo iainana Android Fampiharana Progressive Web App (PWA). Averina jerena indray mandeha isan'andro ny fanavaozana ny WebAPK, fa tsy isaky ny telo andro toy ny teo aloha intsony. Raha mahita fiovana na dia amin'ny toetra fototra iray ao amin'ny manifest aza ity fanamarinana ity, dia hisintona sy hametraka ny WebAPK vaovao ny navigateur;
- Ao amin'ny API nanampy ny fahafahana mamaky sy manoratra sary amin'ny alàlan'ny clipboard mampiasa ny fomba navigator.clipboard.read() sy navigator.clipboard.write();
- Fanohanana nampiharina ho an'ny vondrona lohatenin'ny HTTP (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site ary Sec-Fetch-User), ahafahanao mandefa metadata fanampiny momba ny toetran'ny fangatahana (fangatahana cross-site, fangatahana amin'ny tenifototra img, sns .) amin'ny fanekena ny fepetran'ny mpizara mba hiarovana amin'ny karazana fanafihana sasany (ohatra, tsy azo inoana fa ny rohy mankany amin'ny mpandrindra iray handefasana vola dia hofaritana amin'ny alàlan'ny marika img, ka azo sakanana ny fangatahana toy izany raha tsy ampitaina amin'ny fampiharana. );
- Nampiana endri-javatra , izay manomboka ny fandefasana programa momba ny angon-drakitra amin'ny fomba mitovy amin'ny fipihana ny bokotra fandefasana. Ny fiasa dia azo ampiasaina rehefa mamolavola ny bokotra fandefasana ny endrikao manokana, izay tsy ampy ny fiantsoana form.submit() noho ny tsy fisian'ny fanamarinana interactive ny masontsivana, ny famoronana hetsika 'manolotra' ary ny fandefasana data. mifatotra amin'ny bokotra fandefasana;
- Fampiasa fanampiny amin'ny IndexedDB , izay ahafahanao manao fifampiraharahana mifandraika amin'ny zavatra IDBTransaction nefa tsy miandry ny mpitantana hetsika amin'ny fangatahana rehetra mifandraika amin'izany. Ny fampiasana commit() dia ahafahanao mampitombo ny fidirana amin'ny fanoratana sy famakiana fangatahana amin'ny fitahirizana ary mifehy mazava ny fahavitan'ny fifampiraharahana;
- Safidy fanampiny amin'ny fiasa Intl.DateTimeFormat toy ny formatToParts() sy resolveOptions() , izay ahafahanao mangataka fomba fampisehoana daty sy ora manokana;
- Ny fomba BigInt.prototype.toLocaleString() dia novaina ho endrika isa mifototra amin'ny toerana misy azy, ary ny fomba Intl.NumberFormat.prototype.format() sy ny formatToParts() dia novana mba hanohanana ny soatoavina fampidirana BigInt;
- Navela ny API amin'ny karazana Web Workers rehetra, izay azo ampiasaina hisafidianana ny masontsivana tsara indrindra rehefa mamorona MediaStream avy amin'ny mpiasa iray;
- Nampiana fomba , izay mamerina fotsiny ireo fampanantenana efa notanterahina na nolavina, tsy tafiditra ao anatin’izany ireo fampanantenana mbola miandry;
- Nesorina ny safidy "--disable-infobars", izay azo ampiasaina hanafenana fampitandremana mipoitra ao amin'ny interface Chrome (natolotra hanafina fampitandremana mifandraika amin'ny fiarovana ny fitsipika CommandLineFlagSecurityWarningsEnabled);
- Ho an'ny interface miasa amin'ny blobs method text(), arrayBuffer() and stream() ho an'ny famakiana karazana data manokana;
- Nampiana ny fananana CSS "white-space:break-spaces" mba hamaritana fa tokony ho tapaka izay filaharan'ny habaka fotsy izay miteraka fihoaran'ny tsipika;
- Nanomboka ny asa fanadiovana ny saina ao amin'ny chrome://flags, ohatra, saina mba hanesorana ny toetra "ping", izay ahafahan'ny tompon'ny tranokala manara-maso ny kitika amin'ny rohy avy amin'ny pejiny. Raha manaraka rohy ianao ary misy toetra "ping=URL" ao amin'ny marika "a href" ao amin'ny navigateur, azonao atao ny manafoana ny fandefasana fangatahana POST fanampiny amin'ny URL voatondro ao amin'ny toetra misy fampahalalana momba ny tetezamita. Ny dikan'ny fanakanana ping dia very noho io toetra io ao amin'ny famaritana HTML5 ary misy fomba maro ahafahana manao hetsika mitovy (ohatra, mandalo amin'ny rohin'ny fitaterana na manakana ny kitika amin'ny mpitantana JavaScript);
- Nesorina ny saina disable , izay pejy avy amin'ny mpampiantrano samihafa dia hita ao amin'ny fahatsiarovana ireo dingana samihafa, izay samy mampiasa ny boaty fasika azy.
- Ny motera V8 dia nampitombo be ny fahombiazan'ny scanning sy parsing JSON format. Ho an'ny pejin-tranonkala malaza, manafaingana in-2.7 ny fanatanterahana ny JSON.parse. Ny fiovan'ny tady unicode dia nafaingana be, ohatra, nitombo avo roa heny ny hafainganam-pandehan'ny antso mankany amin'ny String#localeCompare, String#normalize, ary koa ny API Intl sasany. Ny fampandehanana ny asa miaraka amin'ny andry mangatsiaka dia nohatsaraina be ihany koa rehefa mampiasa asa toy ny frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) ary fn.apply(ity, [... frozen]).
Ho fanampin'ny fanavaozana sy ny fanamboarana bug, dia manafoana ny kinova vaovao . Maro amin'ireo vulnerability no fantatra fa vokatry ny fitaovana fitiliana mandeha ho azy , , , и . Tsy misy olana lehibe hita fa mamela ny olona iray handalo ny ambaratonga rehetra amin'ny fiarovana ny navigateur ary manatanteraka kaody eo amin'ny rafitra ivelan'ny tontolon'ny sandbox. Ao anatin'ny fandaharan'asa handoavana tambin-karama noho ny fahitana ireo vulnerable amin'ny famoahana ankehitriny, Google dia nandoa loka 16 mitentina $23500 (fanomezana iray $10000, loka iray $6000, loka roa $3000 ary loka telo $500). Ny haben'ny valisoa 9 dia tsy mbola voafaritra.
Source: opennet.ru
