Google ја објави верзијата 142 од веб-прелистувачот Chrome. Достапно е и стабилно издание на проектот Chromium со отворен код, основата на Chrome. Chrome се разликува од Chromium по употребата на логоата на Google, системот за известување за падови, модулите за репродукција на видео содржина заштитена од копирање (DRM), автоматската инсталација на ажурирања, секогаш вклучената изолација на sandbox, обезбедувањето на Google API клучеви и пренесувањето на RLZ параметрите за време на пребарувањето. За оние на кои им треба повеќе време за ажурирање, посебна проширена стабилна гранка се одржува осум недели. Следното издание, Chrome 143, е закажано за 2 декември.
Клучни промени во Chrome 142:
- Заштитата на пристап до локалниот систем е овозможена при интеракција со јавни веб-страници. При пристапување до веб-страница на јавна или внатрешна мрежа (интранет), Мојата IP адреса При пристапување до локалниот систем или интерфејсот за повратна врска (127.0.0.0/8), прелистувачот ќе прикаже дијалог-кутија до корисникот со барање за потврда. Обидите за преземање ресурси, барањата за fetch() и вметнувањата на iframe се опфатени. Заштитата моментално не се применува на конекции преку WebSockets, WebTransport и WebRTC, но ќе биде додадена за овие технологии подоцна.
Напаѓачите го искористуваат пристапот до внатрешни ресурси за да извршат CSRF напади врз рутери, пристапни точки, печатачи, корпоративни веб-интерфејси и други уреди и услуги што прифаќаат само барања од локалната мрежа. Понатаму, скенирањето на внатрешните ресурси може да се користи за индиректна идентификација или за собирање информации за локалната мрежа.
- Воведен е единствен, поедноставен интерфејс за поврзување со сметка на Google и синхронизирање на податоци, како што се зачувани лозинки и обележувачи. Синхронизирањето е интегрирано со најавувањето на сметката и не е претставено како посебна опција во поставките. Корисниците можат да го поврзат Chrome со својата сметка на Google и да го користат за складирање лозинки, обележувачи, историја на прелистување и табови. Оваа функција моментално е активна за некои корисници и ќе се проширува постепено.
- Се користи нов модел на изолација на процеси - „Изолација на потекло“, во кој секој извор на содржина (потекло - врзување на протокол, домен и портата, на пример, „https://foo.example.com“), е изолирана во посебен процес на рендерирање. Бидејќи зголемувањето на грануларноста на изолацијата може да доведе до зголемена потрошувачка на меморија и оптоварување на процесорот, новиот режим на изолација е овозможен само на системи со повеќе од 4 GB RAM меморија. На хардвер со мала потрошувачка на енергија, ќе продолжи да се користи стариот пристап на изолација, кој ги изолира сите различни извори на содржина поврзани со една страница (на пример, foo.example.com и bar.example.com) во посебен процес.
- На системи со Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Во верзијата за Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Имплементацијата на протоколот DTLS (Datagram Transport Layer Security, TLS аналог за UDP) што се користи за WebRTC врски вклучува употреба на алгоритми за постквантно енкрипција.
- Статусот на активација, поставен за време на активноста на корисникот на страницата, сега се зачувува по навигацијата на друга страница на истиот домен. Зачувувањето на активацијата ќе го поедностави развојот на веб-апликации со повеќе страници и ќе реши проблеми како што е поставувањето фокус на внесување кога страницата ја прикажува својата виртуелна тастатура.
- CSS псевдо-класите „:target-before“ и „:target-after“ се додадени за да се дефинираат претходните и следните маркери во однос на тековната позиција на скролување („:target-current“).
- Контејнерите за стил (@container) и функцијата if() сега ја поддржуваат синтаксата на опсег дефинирана во спецификацијата Media Queries Level 4, што овозможува користење на стандардни математички оператори за споредба и логички оператори за дефинирање на опсези на вредности. На пример, сега можете да наведете „@container style(—inner-padding > 1em)“ и „background-color: if(style(attr(data-columns, type ) > 2): светло сина; инаку: бела);"
- Елементите „“ и „“ сега го поддржуваат атрибутот „interestfor“. Овој атрибут може да се користи за активирање на дејства, како што е прикажување на скокачки прозорец, кога корисникот ќе покаже интерес за елементот. Прелистувачот препознава настани како што се задржување на покажувачот над елементот, притискање на кратенки или допир на екран на допир како индикатори за интерес. Кога ќе се идентификува елемент со атрибутот „interestfor“, прелистувачот генерира InterestEvent.
- Направени се подобрувања кај алатките за веб-развивачи. Додадено е копче за брзо стартување на асистентот за вештачка интелигенција во горниот десен агол. Ставката од контекстното мени „Прашај вештачка интелигенција“ е преименувана во „Дебагирање со вештачка интелигенција“ и е проширена за да ја вклучи можноста за извршување непосредни дејства во зависност од контекстот. Во веб-конзолата и панелот за код, асистентот за вештачка интелигенција Gemini сега може да генерира препораки со код.
Алатките за веб-развивачи сега се интегрираат со Програмата за развивачи на Google (GDP). Развивачите сега можат да пристапат до својот GDP профил директно од Chrome DevTools и да заработат награди за завршување на специфични задачи во рамките на овој интерфејс.
Покрај новите функции и поправките на грешки, новата верзија опфаќа 20 ранливости. Многу од ранливостите беа идентификувани преку автоматско тестирање со користење на AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Не беа идентификувани критични проблеми што би можеле да овозможат заобиколување на сите слоеви на заштита на прелистувачот и извршување на код надвор од sandbox-опкружувањето. Како дел од програмата за награди за ранливости за тековното издание, Google воспостави 20 награди во вкупен износ од 130.000 долари (две награди од 50.000 долари, една награда од 10000 долари, три награди од 3000 долари, две награди од 2000 долари и три награди од 1000 долари). Износите на осум од наградите сè уште не се утврдени.
Дополнително, идентификувана е незакрпена ранливост во Blink моторот, што предизвикува паѓање и замрзнување на прелистувачот при извршување на одреден JavaScript код. Ранливоста е предизвикана од архитектонски проблеми во моторот за рендерирање поврзани со недостатокот на ограничување на брзината на ажурирање на својството „document.title“. Ова отсуство на ограничување овозможува „document.title“ да се користи за да се направат десетици милиони промени во DOM во секунда. Ова предизвикува интерфејсот да се замрзне во рок од неколку секунди поради блокирање на главната нишка и значителна потрошувачка на меморија. По 15-60 секунди, прелистувачот паѓа.
Извор: opennet.ru
