Google wydało wersję 142 przeglądarki internetowej Chrome. Dostępna jest również stabilna wersja projektu open source Chromium, fundamentu Chrome. Chrome różni się od Chromium wykorzystaniem logo Google, systemem powiadomień o awariach, modułami do odtwarzania treści wideo chronionych przed kopiowaniem (DRM), automatyczną instalacją aktualizacji, izolacją sandboxa w trybie „zawsze włączonym”, dostarczaniem kluczy API Google oraz przekazywaniem parametrów RLZ podczas wyszukiwania. Dla użytkowników potrzebujących więcej czasu na aktualizację, przez osiem tygodni utrzymywana jest osobna, rozszerzona wersja stabilna (Extended Stable). Kolejne wydanie, Chrome 143, planowane jest na 2 grudnia.
Kluczowe zmiany w Chrome 142:
- Włączona jest ochrona przed dostępem do systemu lokalnego podczas interakcji z publicznymi witrynami internetowymi. Podczas dostępu do witryny internetowej w sieci publicznej lub wewnętrznej (intranet) Adresy IP Podczas uzyskiwania dostępu do lokalnego systemu lub interfejsu pętli zwrotnej (127.0.0.0/8) przeglądarka wyświetli użytkownikowi okno dialogowe z prośbą o potwierdzenie. Obejmuje to próby pobierania zasobów, żądania fetch() i wstawianie ramek iframe. Ochrona nie jest obecnie stosowana do połączeń przez WebSockets, WebTransport i WebRTC, ale zostanie dodana dla tych technologii w przyszłości.
Atakujący wykorzystują dostęp do zasobów wewnętrznych do przeprowadzania ataków CSRF na routery, punkty dostępowe, drukarki, korporacyjne interfejsy internetowe i inne urządzenia oraz usługi, które akceptują wyłącznie żądania z sieci lokalnej. Ponadto skanowanie zasobów wewnętrznych może służyć do pośredniej identyfikacji lub gromadzenia informacji o sieci lokalnej.
- Wprowadzono pojedynczy, uproszczony interfejs do łączenia się z kontem Google i synchronizowania danych, takich jak zapisane hasła i zakładki. Synchronizacja jest zintegrowana z logowaniem na konto i nie jest dostępna jako osobna opcja w ustawieniach. Użytkownicy mogą połączyć Chrome ze swoim kontem Google i używać go do przechowywania haseł, zakładek, historii przeglądania i kart. Funkcja ta jest obecnie aktywna dla niektórych użytkowników i będzie stopniowo rozszerzana.
- Zastosowano nowy model izolacji procesów – „Izolacja pochodzenia”, w którym każde źródło treści (pochodzenie – powiązanie protokołu, domena i port, na przykład „https://foo.example.com”), jest izolowany w oddzielnym procesie renderowania. Ponieważ zwiększenie szczegółowości izolacji może prowadzić do zwiększonego zużycia pamięci i obciążenia procesora, nowy tryb izolacji jest włączany tylko w systemach z pamięcią RAM większą niż 4 GB. Na sprzęcie o niskim poborze mocy nadal będzie stosowana stara metoda izolacji, która izoluje wszystkie różne źródła treści powiązane z jedną witryną (na przykład foo.example.com i bar.example.com) w oddzielnym procesie.
- W systemach z Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- W wersji dla Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Implementacja protokołu DTLS (Datagram Transport Layer Security, odpowiednik TLS dla UDP) używanego w połączeniach WebRTC obejmuje wykorzystanie algorytmów szyfrowania postkwantowego.
- Status aktywacji, ustawiony podczas aktywności użytkownika na stronie, jest teraz zachowywany po przejściu na inną stronę w tej samej domenie. Zachowanie statusu aktywacji uprości tworzenie wielostronicowych aplikacji internetowych i rozwiąże problemy, takie jak ustawianie fokusu wprowadzania danych, gdy witryna wyświetla klawiaturę wirtualną.
- Dodano pseudoklasy CSS ":target-before" i ":target-after", które definiują poprzedni i następny znacznik względem bieżącej pozycji przewijania (":target-current").
- Kontenery stylów (@container) i funkcja if() obsługują teraz składnię zakresu zdefiniowaną w specyfikacji Media Queries Level 4, która pozwala na używanie standardowych matematycznych operatorów porównania i operatorów logicznych do definiowania zakresów wartości. Na przykład, można teraz określić „@container style(—inner-padding > 1em)” i „background-color: if(style(attr(data-columns, type)”. ) > 2): jasnoniebieski; w przeciwnym razie: biały);"
- Elementy „ ” i „ ” obsługują teraz atrybut „interestfor”. Atrybut ten może być używany do wyzwalania akcji, takich jak wyświetlanie wyskakującego okienka, gdy użytkownik wykazuje zainteresowanie elementem. Przeglądarka rozpoznaje takie zdarzenia, jak najechanie kursorem na element i przytrzymanie go, naciśnięcie klawiszy skrótu lub dotknięcie ekranu dotykowego, jako wskaźniki zainteresowania. Po zidentyfikowaniu elementu z atrybutem „interestfor” przeglądarka generuje zdarzenie InterestEvent.
- Wprowadzono ulepszenia w narzędziach dla programistów stron internetowych. W prawym górnym rogu dodano przycisk szybkiego uruchamiania asystenta AI. Pozycję menu kontekstowego „Zapytaj AI” zmieniono na „Debuguj z AI” i rozszerzono o możliwość wykonywania natychmiastowych działań w zależności od kontekstu. W konsoli internetowej i panelu kodu asystent Gemini AI może teraz generować rekomendacje za pomocą kodu.
Narzędzia dla programistów stron internetowych integrują się teraz z Google Developer Program (GDP). Programiści mogą teraz uzyskać dostęp do swojego profilu GDP bezpośrednio z Chrome DevTools i zdobywać nagrody za wykonywanie określonych zadań w tym interfejsie.
Oprócz nowych funkcji i poprawek błędów, nowa wersja usuwa 20 luk w zabezpieczeniach. Wiele z nich zostało zidentyfikowanych podczas automatycznych testów z użyciem AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Nie zidentyfikowano żadnych krytycznych problemów, które mogłyby umożliwić ominięcie wszystkich warstw ochrony przeglądarki i wykonanie kodu poza środowiskiem sandbox. W ramach programu nagród za wykrywanie luk w zabezpieczeniach dla obecnej wersji, Google ustanowiło 20 nagród o łącznej wartości 130 000 USD (dwie nagrody o wartości 50 000 USD, jedna o wartości 10 000 USD, trzy o wartości 3 000 USD, dwie o wartości 2 000 USD i trzy o wartości 1 000 USD). Kwoty ośmiu nagród nie zostały jeszcze ustalone.
Dodatkowo, w silniku Blink zidentyfikowano niezałataną lukę w zabezpieczeniach, powodującą awarie i zawieszanie się przeglądarki podczas wykonywania określonego kodu JavaScript. Luka ta jest spowodowana problemami architektonicznymi w silniku renderującym, związanymi z brakiem limitu szybkości aktualizacji właściwości „document.title”. Ten brak ograniczenia pozwala na używanie „document.title” do wprowadzania dziesiątek milionów zmian w DOM na sekundę. Powoduje to zawieszenie się interfejsu w ciągu kilku sekund z powodu zablokowania wątku głównego i znacznego zużycia pamięci. Po 15–60 sekundach przeglądarka ulega awarii.
Źródło: opennet.ru
