Ħruġ tal-web browser Chrome 142

Google ħarġet il-verżjoni 142 tal-web browser Chrome. Hemm disponibbli wkoll verżjoni stabbli tal-proġett open-source Chromium, il-pedament ta' Chrome. Chrome huwa differenti minn Chromium fl-użu tal-logos ta' Google, sistema ta' notifika ta' ħsarat, moduli għad-daqq ta' kontenut tal-vidjow protett mill-ikkupjar (DRM), installazzjoni awtomatika ta' aġġornamenti, iżolament sandbox dejjem mixgħul, provvista ta' ċwievet API ta' Google, u l-mogħdija ta' parametri RLZ waqt it-tfittxija. Għal dawk li jeħtieġu aktar ħin biex jaġġornaw, fergħa Extended Stable separata tinżamm għal tmien ġimgħat. Ir-rilaxx li jmiss, Chrome 143, huwa skedat għat-2 ta' Diċembru.

Bidliet ewlenin fil-Chrome 142:

• Il-protezzjoni kontra l-aċċess għas-sistema lokali meta wieħed jinteraġixxi ma' websajts pubbliċi hija attivata. Meta wieħed jaċċessa websajt fuq netwerk pubbliku jew intern (intranet), L-indirizz IP tiegħi Meta taċċessa s-sistema lokali jew l-interfaċċja loopback (127.0.0.0/8), il-browser se juri kaxxa ta' djalogu lill-utent li titlob konferma. Tentattivi biex jitniżżlu riżorsi, talbiet fetch(), u inserzjonijiet ta' iframe huma koperti. Il-protezzjoni bħalissa mhijiex applikata għal konnessjonijiet permezz ta' WebSockets, WebTransport, u WebRTC, iżda se tiżdied għal dawn it-teknoloġiji aktar tard.

  L-attakkanti jisfruttaw l-aċċess għar-riżorsi interni biex iwettqu attakki CSRF fuq routers, access points, printers, interfaces tal-web korporattivi, u apparati u servizzi oħra li jaċċettaw biss talbiet min-netwerk lokali. Barra minn hekk, l-iskannjar tar-riżorsi interni jista' jintuża għal identifikazzjoni indiretta jew biex tinġabar informazzjoni dwar in-netwerk lokali.
• Ġiet introdotta interfaċċja waħda u simplifikata għall-konnessjoni ma' kont tal-Google u s-sinkronizzazzjoni tad-dejta, bħal passwords u bookmarks salvati. Is-sinkronizzazzjoni hija integrata mad-dħul fil-kont u mhijiex ippreżentata bħala għażla separata fis-settings. L-utenti jistgħu jgħaqqdu Chrome mal-kont tal-Google tagħhom u jużawh biex jaħżnu passwords, bookmarks, storja tal-browsing, u tabs. Din il-karatteristika bħalissa hija attiva għal xi utenti, u se tiġi estiża gradwalment.
• Jintuża mudell ġdid ta' iżolament tal-proċess - "Iżolament tal-Oriġini", fejn kull sors ta' kontenut (oriġini - rabta ta' protokoll, dominju u l-port, pereżempju, "https://foo.example.com"), huwa iżolat fi proċess separat ta' rendering. Peress li ż-żieda fil-granularità tal-iżolament tista' twassal għal żieda fil-konsum tal-memorja u t-tagħbija tas-CPU, il-modalità l-ġdida ta' iżolament hija attivata biss fuq sistemi b'aktar minn 4 GB ta' RAM. Fuq ħardwer b'konsum baxx ta' enerġija, l-approċċ antik ta' iżolament se jkompli jintuża, li jiżola s-sorsi differenti kollha ta' kontenut assoċjati ma' sit wieħed (pereżempju, foo.example.com u bar.example.com) fi proċess separat.
• Fuq sistemi bi Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
• Fil-verżjoni għal Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
• L-implimentazzjoni tal-protokoll DTLS (Datagram Transport Layer Security, analogu TLS għal UDP) użat għall-konnessjonijiet WebRTC tinkludi l-użu ta' algoritmi ta' encryption post-quantum.
• L-istatus tal-attivazzjoni, issettjat waqt l-attività tal-utent fuq paġna, issa jiġi ppreservat wara li wieħed jinnaviga għal paġna oħra fuq l-istess dominju. Il-preservazzjoni tal-attivazzjoni se tissimplifika l-iżvilupp ta' applikazzjonijiet tal-web b'ħafna paġni u ssolvi problemi bħall-issettjar tal-fokus tal-input meta s-sit juri t-tastiera virtwali tiegħu.
• Il-psewdo-klassijiet CSS ":target-before" u ":target-after" ġew miżjuda biex jiddefinixxu l-markaturi ta' qabel u ta' wara relattivament għall-pożizzjoni attwali tal-iscroll (":target-current").
• Il-kontenituri tal-istil (@container) u l-funzjoni if() issa jappoġġjaw is-Sintassi tal-Medda definita fl-ispeċifikazzjoni tal-Media Queries Level 4, li tippermetti l-użu ta' operaturi standard ta' tqabbil matematiku u operaturi loġiċi biex jiddefinixxu meded ta' valuri. Pereżempju, issa tista' tispeċifika "@container style(—inner-padding > 1em)" u "background-color: if(style(attr(data-columns, type ) > 2): blu ċar; inkella: abjad);"
• L -elementi " " u " " issa jappoġġjaw l-attribut "interestfor". Dan l-attribut jista' jintuża biex jattiva azzjonijiet, bħall-wiri ta' popup, meta l-utent juri interess fl-element. Il-browser jirrikonoxxi avvenimenti bħal meta wieħed iżomm il-pointer fuq l-element, jagħfas hotkeys, jew iżomm mess fuq touchscreen bħala indikaturi ta' interess. Meta jiġi identifikat element bl-attribut "interestfor", il-browser jiġġenera InterestEvent.
• Saru titjib fl-għodod tal-iżviluppatur tal-web. Żdiedet buttuna ta' tnedija rapida għall-assistent tal-AI fir-rokna ta' fuq tal-lemin. L-oġġett tal-menu tal-kuntest "Staqsi lill-AI" ingħata isem ġdid għal "Debug with AI" u ġie estiż biex jinkludi l-abbiltà li jitwettqu azzjonijiet immedjati skont il-kuntest. Fil-console tal-web u l-pannell tal-kodiċi, l-assistent tal-Gemini AI issa jista' jiġġenera rakkomandazzjonijiet bil-kodiċi.

  L-għodod tal-iżviluppaturi tal-web issa jintegraw mal-Programm tal-Iżviluppaturi ta' Google (GDP). L-iżviluppaturi issa jistgħu jaċċessaw il-profil tal-GDP tagħhom direttament minn Chrome DevTools u jaqilgħu premjijiet għat-tlestija ta' kompiti speċifiċi f'din l-interfaċċja.

  

Minbarra l-karatteristiċi ġodda u t-tiswija ta' bugs, il-verżjoni l-ġdida tindirizza 20 vulnerabbiltà. Ħafna mill-vulnerabbiltajiet ġew identifikati permezz ta' ttestjar awtomatizzat bl-użu ta' AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, u AFL. Ma ġew identifikati l-ebda kwistjonijiet kritiċi li jistgħu jippermettu li jinqabżu s-saffi kollha tal-protezzjoni tal-browser u li jiġi eżegwit kodiċi barra l-ambjent sandbox. Bħala parti mill-programm ta' bounty tal-vulnerabbiltajiet għar-rilaxx attwali, Google stabbilixxiet 20 bounty li jammontaw għal $130,000 (żewġ bounty ta' $50,000, waħda ta' $10000, tliet bounty ta' $3000, żewġ bounty ta' $2000, u tliet bounty ta' $1000). L-ammonti ta' tmienja mill-bounties għadhom ma ġewx determinati.

Barra minn hekk, ġiet identifikata vulnerabbiltà mhux immodifikata fil-magna Blink, li tikkawża li l-browser jiġġarraf u jiffriża meta jesegwixxi ċertu kodiċi JavaScript. Il-vulnerabbiltà hija kkawżata minn kwistjonijiet arkitettoniċi fil-magna tar-rendering relatati man-nuqqas ta' limitu tar-rata fuq l-aġġornament tal-proprjetà "document.title". Din in-nuqqas ta' limitazzjoni tippermetti li "document.title" jintuża biex isiru għexieren ta' miljuni ta' bidliet fid-DOM kull sekonda. Dan jikkawża li l-interface jiffriża fi ftit sekondi minħabba li t-thread prinċipali jkun imblukkat u konsum sinifikanti tal-memorja. Wara 15-60 sekonda, il-browser jiġġarraf.

Sors: opennet.ru