Chrome 145-utgivelsen

Google har gitt ut versjon 145 av nettleseren Chrome. En stabil utgave av Chromium-prosjektet med åpen kildekode, grunnlaget for Chrome, er også tilgjengelig. Chrome skiller seg fra Chromium ved bruk av Google-logoer, krasjvarslingssystem, moduler for avspilling av kopibeskyttet videoinnhold (DRM), automatisk installasjon av oppdateringer, isolering av alltid-på-sandkasser, klargjøring av Google API-nøkler og bruk av RLZ-parametere under søk. For de som trenger mer tid til å oppdatere, vedlikeholdes en egen utvidet stabil gren i åtte uker. Neste utgivelse, Chrome 146, er planlagt til 10. mars.

Viktige endringer i Chrome 145:

• La til støtte for JPEG XL-bildeformatet, dekodet ved hjelp av jxl-rs-biblioteket med en Rust-implementering av JPEG-XL. JPEG XL-støtte er for øyeblikket deaktivert som standard og krever aktivering av innstillingen «chrome://flags/#enable-jxl-image-format».
• Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 145 AI-режим реализован в версиях для платформ Android и iOS. Для пользователей из Канады, Индии и Новой Зеландии началось включение по умолчанию чат-бота Gemini (при использовании английского языка).
• DBSC-mekanismen (Device Bound Session Credentials) er lagt til, slik at du kan binde en nettstedsautentiseringsøkt til en bestemt enhet for å komplisere angrep fra andre systemer ved hjelp av avlyttede øktinformasjonskapsler. HTTP-headeren "Secure-Session-Registration" foreslås for å opprette en enhetsbundet økt. Denne beskyttelsesmetoden innebærer å tilby et par kryptografiske nøkler bundet til den gjeldende enheten, generert ved tilkobling og lagret i TPM (Trusted Platform Module). Økten bruker informasjonskapsler med kort levetid, som oppdateres med jevne mellomrom ved hjelp av den private nøkkelen og kan verifiseres ved hjelp av den offentlige nøkkelen.
• Innstillingen som tillot brukere å deaktivere blokkering av tvungne nettlesertillegg som ble funnet å bryte mindre brudd på Chrome Nettmarked-retningslinjer, er fjernet. Mindre brudd inkluderer potensielle sårbarheter, å pushe tillegg uten brukerens viten, manipulering av metadata, brudd på brukerdataretningslinjer og villedende funksjonalitet.
• I plattformversjonen Android при активации режима расширенной защиты (AAPM, Android Advanced Protection Mode) отключён Javascript API WebGPU. Сайты, использующие WebGPU для отрисовки 3D-контента (например, Google Maps), могут использовать более медленные альтернативы, такие как WebGL (в тестах на 5.78% медленнее). Для определения отключения WebGPU можно использовать свойство navigator.gpu.
• I versjonen for Android при включении режима расширенной защиты браузера (Enhanced Safe Browsing) реализован локальный анализ внешнего вида страниц на предмет наличия признаков мошенничества. Если локальная проверка выявила подозрения на сомнительный контент, то выполняется дополнительная проверка на серверах Google и в случае подтверждения выводится предупреждение пользователю.
• Origin API-et er lagt til, og tilbyr et Origin-objekt som implementerer Web Origin-konseptet og tilbyr metoder for å sammenligne, serialisere og analysere Web Origins. Begrepet "Web Origin" er definert i RFC 6454 for å skille mellom innholdsisolering og tillitsgrenser. En Web Origin omfatter den delen av en URL med protokollnavn, vertsnavn og portnummer (f.eks. https://opennet.ru). Dette nye API-et ble introdusert for å forene operasjoner med Web Origins og eliminere sårbarheter forårsaket av feilaktige sammenligninger av serialiserte ASCII-representasjoner av Web Origins når man bestemmer om ressurser tilhører samme nettsted.
• Tilgangsrettigheter til det lokale systemet ved samhandling med offentlige nettsteder er atskilt. Forespørsler fra nettstedet til IP-adresser Forespørsler om lokalt nettverk (intranett eller interne adresser) og loopback-grensesnitt (127.0.0.0/8) behandles nå med forskjellige tillatelser (lokalt nettverk og loopback-nettverk), noe som krever at brukeren bekrefter operasjonen i en spesiell dialogboks. Forsøk på å laste ned ressurser, fetch()-forespørsler og iframe-innsettinger er dekket av beskyttelse. Angripere utnytter interne ressursforespørsler til å utføre CSRF-angrep på rutere, tilgangspunkter, skrivere, bedriftsnettgrensesnitt og andre enheter og tjenester som bare godtar forespørsler fra det lokale nettverket. Videre kan skanning av interne ressurser brukes til indirekte identifisering eller for å samle informasjon om det lokale nettverket.
• Убрана настройка UserAgentReduction, позволявшая вернуть передачу неурезанной информации в HTTP-заголовке User-Agent и JavaScript параметрах navigator.userAgent, navigator.appVersion и navigator.platform. Брузер теперь всегда передаёт сокращённый вариант User-Agent без детальной информации о платформе (например, «Android 16; S» вместо «Android 16; SM-A205U»).
• Den innebygde PDF-leseren støtter nå lagring av dokumenter i Google Drive-skylagring. I Google Drive lagres dokumenter fra Chrome i mappen «Lagret fra Chrome».
• LayoutShift API-et, som sporer endringer i plasseringen av DOM-elementer på skjermen, har blitt byttet til å vise informasjon i CSS-piksler i stedet for skjermpiksler. CSS-piksler tar hensyn til skjermens DPI og er visuelt konsistente på tvers av alle skjermer, inkludert skjermer med høy pikseltetthet. Denne endringen ble gjort for å samkjøre Chrome med andre nettlesere.
• WebRequest.SecurityInfo-metoden er implementert for Controlled Frame API, som lar en webapplikasjon fange opp en HTTPS-, WSS- eller WebTransport-forespørsel til en server og innhente et sertifikatfingeravtrykk. server og bruk den til å manuelt bekrefte sertifikatet som brukes for en direkte tilkobling til samme server via TCP/UDP.
• La til støtte for CSS-egenskapene column-wrap og column-height som er definert i CSS Multi-column Layout 2-spesifikasjonen. Column-wrap-egenskapen lar kolonner brytes til en ny linje i stedet for å rulle horisontalt hvis kolonnene ikke passer innenfor høyden som er angitt av column-height-egenskapen.
• La til CSS-egenskapen text-justify, som lar deg spesifisere tekstjusteringstypen når du bruker «text-align: justify»;
• CSS-egenskapene for bokstavavstand og ordavstand lar deg angi innrykksstørrelsen som en prosentandel.
• JavaScript Map- og WeakMap-objektene implementerer «upsert»-spesifikasjonen, noe som forenkler arbeidet med samlinger av nøkkel/verdi-par. Metodene getOrInsert og getOrInsertComputed er lagt til, og returnerer verdien som allerede er i samlingen og er knyttet til den angitte nøkkelen, eller oppretter en ny oppføring hvis nøkkelen ikke blir funnet.
• IndexedDB API-implementeringen er omskrevet med SQLite-databasen som backend (den forrige implementeringen var avhengig av LevelDB i separate filer). Den nye implementeringen brukes for øyeblikket bare i minnekontekster, for eksempel i inkognitomodus.
• Det er gjort forbedringer i verktøyene for nettutviklere. Muligheten til å begrense hastigheten på individuelle nettverksforespørsler er nå aktivert som standard i panelet «Forespørselsbetingelser» i nettverksinspeksjonsgrensesnittet.

I tillegg til nye funksjoner og feilrettinger, adresserer den nye versjonen 11 sårbarheter. Mange av sårbarhetene ble identifisert gjennom automatisert testing ved hjelp av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL. Ingen kritiske problemer som kunne tillate omgåelse av alle lag med nettleserbeskyttelse og kjøring av kode utenfor sandkassemiljøet ble identifisert. Som en del av sitt sårbarhetsdusørprogram for den nåværende utgivelsen har Google etablert 11 belønninger og tildelt 18.5 500 dollar (én belønning på hver av 8000 dollar, 5000 dollar, 2000 dollar og 4 dollar, og tre belønninger på 1000 dollar). Beløpet for de fire belønningene er ennå ikke fastsatt.

Kilde: opennet.ru