🥇Uitgave van de Chrome 142-webbrowser

Google heeft versie 142 van de Chrome-webbrowser uitgebracht. Er is ook een stabiele versie beschikbaar van het open-source Chromium-project, de basis van Chrome. Chrome verschilt van Chromium door het gebruik van Google-logo's, een systeem voor crashmeldingen, modules voor het afspelen van kopieerbeveiligde videocontent (DRM), automatische installatie van updates, always-on sandbox-isolatie, het verstrekken van Google API-sleutels en het doorgeven van RLZ-parameters tijdens het zoeken. Voor wie meer tijd nodig heeft om te updaten, wordt er acht weken lang een aparte Extended Stable-branch onderhouden. De volgende release, Chrome 143, staat gepland voor 2 december.

Belangrijkste wijzigingen in Chrome 142:

Lokale systeemtoegangsbeveiliging is ingeschakeld bij interactie met openbare websites. Bij toegang tot een website op een openbaar of intern netwerk (intranet), IP-adressen Bij toegang tot het lokale systeem of de loopback-interface (127.0.0.0/8) toont de browser een dialoogvenster aan de gebruiker waarin om bevestiging wordt gevraagd. Pogingen om resources te downloaden, fetch()-verzoeken en het invoegen van iframes vallen onder deze bescherming. Beveiliging is momenteel niet van toepassing op verbindingen via WebSockets, WebTransport en WebRTC, maar zal later voor deze technologieën worden toegevoegd.
Aanvallers misbruiken de toegang tot interne bronnen om CSRF-aanvallen uit te voeren op routers, access points, printers, bedrijfswebinterfaces en andere apparaten en services die alleen verzoeken van het lokale netwerk accepteren. Bovendien kan het scannen van interne bronnen worden gebruikt voor indirecte identificatie of om informatie over het lokale netwerk te verzamelen.
Er is één vereenvoudigde interface geïntroduceerd voor het koppelen aan een Google-account en het synchroniseren van gegevens, zoals opgeslagen wachtwoorden en bladwijzers. Synchronisatie is geïntegreerd met accountaanmelding en wordt niet als aparte optie in de instellingen weergegeven. Gebruikers kunnen Chrome koppelen aan hun Google-account en het gebruiken om wachtwoorden, bladwijzers, browsegeschiedenis en tabbladen op te slaan. Deze functie is momenteel beschikbaar voor sommige gebruikers en zal geleidelijk worden uitgebreid.
Er wordt een nieuw procesisolatiemodel gebruikt: "Origin Isolation", waarbij elke inhoudsbron (origin - een protocolbundel, domein Een poort, bijvoorbeeld "https://foo.example.com", wordt geïsoleerd in een apart renderingproces. Omdat een hogere isolatiegranulariteit kan leiden tot een hoger geheugenverbruik en een hogere CPU-belasting, is de nieuwe isolatiemodus alleen ingeschakeld op systemen met meer dan 4 GB RAM. Op hardware met een laag stroomverbruik blijft de oude isolatiemethode gebruikt worden, waarbij alle verschillende contentbronnen die aan één site zijn gekoppeld (bijvoorbeeld foo.example.com en bar.example.com) in een apart proces worden geïsoleerd.
Op systemen met Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
In de versie voor Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
De implementatie van het DTLS-protocol (Datagram Transport Layer Security, een TLS-analoog voor UDP) dat wordt gebruikt voor WebRTC-verbindingen, omvat het gebruik van post-quantum-encryptie-algoritmen.
De activeringsstatus, ingesteld tijdens gebruikersactiviteit op een pagina, blijft nu behouden na het navigeren naar een andere pagina binnen hetzelfde domein. Het behouden van de activering vereenvoudigt de ontwikkeling van webapplicaties met meerdere pagina's en lost problemen op zoals het instellen van de invoerfocus wanneer de site het virtuele toetsenbord weergeeft.
De CSS-pseudoklassen ":target-before" en ":target-after" zijn toegevoegd om de vorige en volgende markeringen te definiëren ten opzichte van de huidige scrollpositie (":target-current").
Stijlcontainers (@container) en de if()-functie ondersteunen nu de bereiksyntaxis die is gedefinieerd in de Media Queries Level 4-specificatie, waardoor het gebruik van standaard wiskundige vergelijkingsoperatoren en logische operatoren mogelijk is om waardebereiken te definiëren. U kunt nu bijvoorbeeld "@container style(—inner-padding > 1em)" en "background-color: if(style(attr(data-columns, type ) > 2): lichtblauw; anders: wit);"
De elementen " " en " " ondersteunen nu het kenmerk "interestfor". Dit kenmerk kan worden gebruikt om acties te activeren, zoals het weergeven van een pop-up, wanneer de gebruiker interesse toont in het element. De browser herkent gebeurtenissen zoals het bewegen van de muisaanwijzer over het element en het vasthouden ervan, het indrukken van sneltoetsen of het vasthouden van een touchscreen als indicatoren van interesse. Wanneer een element met het kenmerk "interestfor" wordt geïdentificeerd, genereert de browser een InterestEvent.
Er zijn verbeteringen aangebracht aan de tools voor webontwikkelaars. Er is een snelstartknop voor de AI-assistent toegevoegd in de rechterbovenhoek. Het contextmenu-item "Vraag AI" is hernoemd naar "Debuggen met AI" en uitgebreid met de mogelijkheid om direct acties uit te voeren, afhankelijk van de context. In de webconsole en het codepaneel kan de Gemini AI-assistent nu aanbevelingen genereren met code.
Webontwikkelaarstools zijn nu geïntegreerd met het Google Developer Program (GDP). Ontwikkelaars hebben nu rechtstreeks vanuit Chrome DevTools toegang tot hun GDP-profiel en kunnen beloningen verdienen voor het voltooien van specifieke taken binnen deze interface.

Naast nieuwe functies en bugfixes verhelpt de nieuwe versie 20 kwetsbaarheden. Veel van deze kwetsbaarheden werden geïdentificeerd door middel van geautomatiseerde tests met AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Er werden geen kritieke problemen geïdentificeerd die het mogelijk zouden maken om alle lagen van browserbeveiliging te omzeilen en code buiten de sandboxomgeving uit te voeren. Als onderdeel van het bounty-programma voor kwetsbaarheden voor de huidige release heeft Google 20 bounty's uitgeloofd met een totaalbedrag van $ 130.000 (twee bounty's van $ 50.000, één bounty van $ 10000, drie bounty's van $ 3000, twee bounty's van $ 2000 en drie bounty's van $ 1000). De hoogte van acht van deze bounty's is nog niet vastgesteld.

Daarnaast is er een ongepatchte kwetsbaarheid ontdekt in de Blink-engine, waardoor de browser crasht en vastloopt bij het uitvoeren van bepaalde JavaScript-code. Deze kwetsbaarheid wordt veroorzaakt door architectuurproblemen in de rendering-engine, die verband houden met het ontbreken van een snelheidslimiet voor het bijwerken van de eigenschap "document.title". Door dit gebrek aan limiet kan "document.title" worden gebruikt om tientallen miljoenen wijzigingen per seconde in de DOM aan te brengen. Dit zorgt ervoor dat de interface binnen enkele seconden vastloopt, omdat de hoofdthread geblokkeerd is en er aanzienlijk geheugen wordt gebruikt. Na 15-60 seconden crasht de browser.

Bron: opennet.ru

Chrome 142 webbrowserversie