ProHoster > Blogg > Internett-nyheter > Chrome 142 nettleserutgivelse

Chrome 142 nettleserutgivelse

Google har gitt ut versjon 142 av nettleseren Chrome. En stabil utgave av Chromium-prosjektet med åpen kildekode, grunnlaget for Chrome, er også tilgjengelig. Chrome skiller seg fra Chromium ved bruk av Google-logoer, et krasjvarslingssystem, moduler for avspilling av kopibeskyttet videoinnhold (DRM), automatisk installasjon av oppdateringer, isolering av alltid-på-sandkasser, klargjøring av Google API-nøkler og overføring av RLZ-parametere under søk. For de som trenger mer tid til å oppdatere, vedlikeholdes en egen utvidet stabil gren i åtte uker. Neste utgivelse, Chrome 143, er planlagt til 2. desember.

Viktige endringer i Chrome 142:

  • Beskyttelse mot tilgang til det lokale systemet ved samhandling med offentlige nettsteder er aktivert. Når du åpner et nettsted på et offentlig eller internt nettverk (intranett), IP-adresser Når nettleseren åpner det lokale systemet eller loopback-grensesnittet (127.0.0.0/8), vil brukeren bli bedt om bekreftelse ved å åpne en dialogboks. Forsøk på å laste ned ressurser, fetch()-forespørsler og iframe-innsettinger er dekket. Beskyttelse brukes for øyeblikket ikke på tilkoblinger via WebSockets, WebTransport og WebRTC, men det vil bli lagt til for disse teknologiene senere.

    Angripere utnytter intern ressurstilgang til å utføre CSRF-angrep på rutere, tilgangspunkter, skrivere, bedriftens webgrensesnitt og andre enheter og tjenester som bare godtar forespørsler fra det lokale nettverket. Videre kan skanning av interne ressurser brukes til indirekte identifisering eller for å samle inn informasjon om det lokale nettverket.

  • Et enkelt, forenklet grensesnitt er introdusert for å koble til en Google-konto og synkronisere data, for eksempel lagrede passord og bokmerker. Synkronisering er integrert med kontopålogging og presenteres ikke som et separat alternativ i innstillingene. Brukere kan koble Chrome til Google-kontoen sin og bruke den til å lagre passord, bokmerker, nettleserlogg og faner. Denne funksjonen er for øyeblikket aktiv for noen brukere, og vil bli utvidet gradvis.
  • En ny prosessisolasjonsmodell brukes – «Origin Isolation», der hver innholdskilde (opprinnelse – en protokollbinding, domene og porten, for eksempel «https://foo.example.com»), isoleres i en separat gjengivelsesprosess. Siden økning av isolasjonsgranulariteten kan føre til økt minneforbruk og CPU-belastning, er den nye isolasjonsmodusen bare aktivert på systemer med mer enn 4 GB RAM. På maskinvare med lavt strømforbruk vil den gamle isolasjonsmetoden fortsatt brukes, som isolerer alle forskjellige innholdskilder tilknyttet ett enkelt nettsted (for eksempel foo.example.com og bar.example.com) i en separat prosess.
  • På systemer med Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
  • I versjonen for Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
  • Implementeringen av DTLS-protokollen (Datagram Transport Layer Security, en TLS-analog for UDP) som brukes for WebRTC-tilkoblinger inkluderer bruk av post-kvantekrypteringsalgoritmer.
  • Aktiveringsstatusen, som ble angitt under brukeraktivitet på en side, bevares nå etter at man har navigert til en annen side på samme domene. Å bevare aktiveringen vil forenkle utviklingen av flersiders webapplikasjoner og løse problemer som å angi fokus for inndata når nettstedet viser det virtuelle tastaturet.
  • CSS-pseudoklassene «:target-before» og «:target-after» er lagt til for å definere forrige og neste markører i forhold til gjeldende rulleposisjon («:target-current»).
  • Stilcontainere (@container) og if()-funksjonen støtter nå områdesyntaksen som er definert i Media Queries Level 4-spesifikasjonen, som tillater bruk av standard matematiske sammenligningsoperatorer og logiske operatorer for å definere verdiområder. For eksempel kan du nå spesifisere "@container style(—inner-padding > 1em)" og "background-color: if(style(attr(data-columns, type ) > 2): lyseblå; ellers: hvit);"
  • Elementene « « og « « støtter nå attributtet «interestfor». Dette attributtet kan brukes til å utløse handlinger, for eksempel å vise en popup, når brukeren viser interesse for elementet. Nettleseren gjenkjenner hendelser som å holde pekeren over elementet, trykke på hurtigtaster eller holde et trykk på en berøringsskjerm som indikatorer på interesse. Når et element med attributtet «interestfor» identifiseres, genererer nettleseren en InterestEvent.
  • Det er gjort forbedringer i verktøyene for nettutviklere. En hurtigstartknapp for AI-assistenten er lagt til i øvre høyre hjørne. Kontekstmenyelementet «Spør AI» har fått nytt navn til «Feilsøk med AI» og er utvidet til å inkludere muligheten til å utføre umiddelbare handlinger avhengig av kontekst. I nettkonsollen og kodepanelet kan Gemini AI-assistenten nå generere anbefalinger med kode.
    Chrome 142 nettleserutgivelse

    Nettutviklerverktøy integreres nå med Google Developer Program (GDP). Utviklere kan nå få tilgang til GDP-profilen sin direkte fra Chrome DevTools og tjene belønninger for å fullføre bestemte oppgaver i dette grensesnittet.

    Chrome 142 nettleserutgivelse

I tillegg til nye funksjoner og feilrettinger, adresserer den nye versjonen 20 sårbarheter. Mange av sårbarhetene ble identifisert gjennom automatisert testing ved hjelp av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL. Ingen kritiske problemer som kunne tillate omgåelse av alle lag med nettleserbeskyttelse og kjøring av kode utenfor sandkassemiljøet ble identifisert. Som en del av sårbarhetsdusørprogrammet for den nåværende utgivelsen har Google etablert 20 dusører på til sammen 130 000 dollar (to dusører på 50 000 dollar, én dusør på 10 000 dollar, tre dusører på 3000 dollar, to dusører på 2000 dollar og tre dusører på 1000 dollar). Beløpene på åtte av dusørene er ennå ikke fastsatt.

I tillegg er det identifisert en uoppdatert sårbarhet i Blink-motoren, som fører til at nettleseren krasjer og fryser når den kjører visse JavaScript-koder. Sårbarheten skyldes arkitektoniske problemer i gjengivelsesmotoren knyttet til mangelen på en hastighetsgrense for oppdatering av egenskapen «document.title». Denne mangelen på begrensning gjør at «document.title» kan brukes til å gjøre titalls millioner endringer i DOM-en per sekund. Dette fører til at grensesnittet fryser i løpet av få sekunder på grunn av at hovedtråden blokkeres og betydelig minneforbruk. Etter 15–60 sekunder krasjer nettleseren.

Kilde: opennet.ru

Kjøp pålitelig hosting for nettsteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Kjøp pålitelig webhotell med DDoS-beskyttelse, VPS VDS-servere | ProHoster