ProHoster > Blog > notícias da internet > Versão 102 do Chrome

Versão 102 do Chrome

O Google revelou o lançamento do navegador Chrome 102. Ao mesmo tempo, está disponível uma versão estável do projeto gratuito Chromium, que serve de base ao Chrome. O navegador Chrome difere do Chromium pelo uso de logotipos do Google, presença de sistema de envio de notificações em caso de travamento, módulos para reprodução de conteúdo de vídeo protegido contra cópia (DRM), sistema de instalação automática de atualizações, habilitação permanente do isolamento Sandbox , fornecendo chaves para a API do Google e transmitindo parâmetros RLZ- durante a pesquisa. Para aqueles que precisam de mais tempo para atualizar, o branch Extended Stable é suportado separadamente, seguido por 8 semanas. O próximo lançamento do Chrome 103 está agendado para 21 de junho.

Principais mudanças no Chrome 102:

  • Para bloquear a exploração de vulnerabilidades causadas pelo acesso a blocos de memória já liberados (use-after-free), em vez de ponteiros comuns, passou a ser utilizado o tipo MiraclePtr (raw_ptr). MiraclePtr fornece uma ligação sobre ponteiros que executa verificações adicionais em acessos a áreas de memória liberadas e trava se tais acessos forem detectados. O impacto do novo método de proteção no desempenho e no consumo de memória é avaliado como insignificante. O mecanismo MiraclePtr não é aplicável em todos os processos, em particular não é utilizado em processos de renderização, mas pode melhorar significativamente a segurança. Por exemplo, na versão atual, das 32 vulnerabilidades corrigidas, 12 foram causadas por problemas de uso após liberação.
  • O design da interface com informações sobre downloads foi alterado. Em vez do resultado final com dados sobre o andamento do download, um novo indicador foi adicionado ao painel com a barra de endereço, ao clicar nele é mostrado o andamento do download dos arquivos e um histórico com uma lista dos arquivos já baixados. Ao contrário do painel inferior, o botão é mostrado constantemente no painel e permite acessar rapidamente o seu histórico de downloads. A nova interface atualmente é oferecida por padrão apenas para alguns usuários e será estendida a todos se não houver problemas. Para retornar a interface antiga ou ativar uma nova, a configuração “chrome://flags#download-bubble” é fornecida.
    Versão 102 do Chrome
  • Ao pesquisar imagens através do menu de contexto (“Pesquisar imagem com Google Lens” ou “Encontrar via Google Lens”), os resultados agora são mostrados não em uma página separada, mas em uma barra lateral ao lado do conteúdo da página original (em uma janela você pode ver simultaneamente o conteúdo da página e o resultado do acesso ao mecanismo de pesquisa).
    Versão 102 do Chrome
  • Na seção “Privacidade e Segurança” das configurações, foi adicionada uma seção “Guia de Privacidade”, que oferece uma visão geral das principais configurações que afetam a privacidade com explicações detalhadas do impacto de cada configuração. Por exemplo, na seção você pode definir a política de envio de dados para os serviços do Google, gerenciar a sincronização, processamento de cookies e salvamento de histórico. A função é oferecida a alguns usuários; para ativá-la, você pode usar a configuração “chrome://flags#privacy-guide”.
    Versão 102 do Chrome
  • É fornecida estruturação do histórico de pesquisa e páginas visualizadas. Ao tentar pesquisar novamente, uma dica “Retomar sua jornada” é exibida na barra de endereço, permitindo continuar a pesquisa a partir do local onde ela foi interrompida da última vez.
    Versão 102 do Chrome
  • A Chrome Web Store oferece uma página “Extensions Starter Kit” com uma seleção inicial de complementos recomendados.
  • No modo de teste, o envio de uma solicitação de autorização CORS (Cross-Origin Resource Sharing) para o servidor do site principal com o cabeçalho “Access-Control-Request-Private-Network: true” é habilitado quando a página acessa um recurso na rede interna ( 192.168.xx, 10.xxx, 172.16.xx) ou para localhost (128.xxx). Ao confirmar a operação em resposta a esta solicitação, o servidor deverá retornar o cabeçalho “Access-Control-Allow-Private-Network: true”. Na versão 102 do Chrome, o resultado da confirmação ainda não afeta o processamento da solicitação – se não houver confirmação, um aviso é exibido no console web, mas a solicitação do sub-recurso em si não é bloqueada. A ativação do bloqueio na ausência de confirmação do servidor não é esperada até o lançamento do Chrome 105. Para ativar o bloqueio em versões anteriores, você pode ativar a configuração "chrome://flags/#private-network-access-respect-preflight- resultados".

    A verificação de autoridade do servidor foi introduzida para fortalecer a proteção contra ataques relacionados ao acesso a recursos na rede local ou no computador do usuário (localhost) a partir de scripts carregados na abertura de um site. Tais solicitações são utilizadas por invasores para realizar ataques CSRF em roteadores, pontos de acesso, impressoras, interfaces web corporativas e outros dispositivos e serviços que aceitam solicitações apenas da rede local. Para se proteger contra tais ataques, se algum sub-recurso for acessado na rede interna, o navegador enviará uma solicitação explícita de permissão para carregar esses sub-recursos.

  • Ao abrir links no modo de navegação anônima através do menu de contexto, alguns parâmetros que afetam a privacidade são automaticamente removidos da URL.
  • A estratégia de entrega de atualizações para Windows e Android foi alterada. Para comparar mais completamente o comportamento das versões novas e antigas, agora são geradas várias compilações da nova versão para download.
  • A tecnologia de segmentação de rede foi estabilizada para proteger contra métodos de rastreamento de movimentos de usuários entre sites com base no armazenamento de identificadores em áreas não destinadas ao armazenamento permanente de informações (“Supercookies”). Como os recursos armazenados em cache são armazenados em um namespace comum, independentemente do domínio de origem, um site pode determinar que outro site está carregando recursos verificando se esse recurso está no cache. A proteção é baseada no uso de segmentação de rede (particionamento de rede), cuja essência é adicionar aos caches compartilhados ligação adicional de registros ao domínio a partir do qual a página principal é aberta, o que limita a cobertura do cache apenas para scripts de rastreamento de movimento para o site atual (um script de um iframe não poderá verificar se o recurso foi baixado de outro site). O compartilhamento de estado cobre conexões de rede (HTTP/1, HTTP/2, HTTP/3, websocket), cache DNS, dados ALPN/HTTP2, TLS/HTTP3, configuração, downloads e informações de cabeçalho Expect-CT.
  • Para aplicativos da web independentes instalados (PWA, Progressive Web App), é possível alterar o design da área do título da janela usando os componentes Window Controls Overlay, que estendem a área da tela do aplicativo da web para toda a janela. Um aplicativo da web pode controlar a renderização e o processamento de entrada de toda a janela, com exceção do bloco de sobreposição com botões de controle de janela padrão (fechar, minimizar, maximizar), para dar ao aplicativo da web a aparência de um aplicativo de desktop normal.
    Versão 102 do Chrome
  • No sistema de preenchimento automático de formulários, foi adicionado suporte para geração de números de cartões de crédito virtuais em campos com dados de pagamento de mercadorias em lojas online. A utilização de um cartão virtual, cujo número é gerado a cada pagamento, permite não transferir dados de um cartão de crédito real, mas exige a prestação do serviço necessário por parte do banco. Atualmente, o recurso está disponível apenas para clientes de bancos dos EUA. Para controlar a inclusão da função, é proposta a configuração “chrome://flags/#autofill-enable-virtual-card”.
  • O mecanismo “Capture Handle” é ativado por padrão, permitindo transferir informações para aplicativos que capturam vídeo. A API permite organizar a interação entre aplicativos cujo conteúdo é gravado e aplicativos que realizam a gravação. Por exemplo, um aplicativo de videoconferência que captura vídeo para transmitir uma apresentação pode recuperar informações sobre os controles da apresentação e exibi-las na janela de vídeo.
  • O suporte para regras especulativas é habilitado por padrão, fornecendo sintaxe flexível para determinar se os dados relacionados ao link podem ser carregados proativamente antes que o usuário clique no link.
  • O mecanismo de empacotamento de recursos em pacotes no formato Web Bundle foi estabilizado, permitindo aumentar a eficiência de carregamento de um grande número de arquivos acompanhantes (estilos CSS, JavaScript, imagens, iframes). Ao contrário dos pacotes no formato Webpack, o formato Web Bundle tem as seguintes vantagens: não é o pacote em si que é armazenado no cache HTTP, mas seus componentes; a compilação e execução do JavaScript começam sem esperar o download completo do pacote; É permitido incluir recursos adicionais como CSS e imagens, que no webpack teriam que ser codificados na forma de strings JavaScript.
  • É possível definir um aplicativo PWA como manipulador de determinados tipos MIME e extensões de arquivo. Após definir uma ligação através do campo file_handlers no manifesto, a aplicação receberá um evento especial quando o usuário tentar abrir um arquivo associado à aplicação.
  • Adicionado um novo atributo inerte que permite marcar parte da árvore DOM como "inativa". Para nós DOM neste estado, a seleção de texto e os manipuladores de foco do ponteiro estão desabilitados, ou seja, Os eventos de ponteiro e as propriedades CSS de seleção do usuário são sempre definidos como 'none'. Se um nó puder ser editado, no modo inerte ele se tornará não editável.
  • Adicionada a API de navegação, que permite que aplicativos da web interceptem operações de navegação em janelas, iniciem a navegação e analisem o histórico de ações com o aplicativo. A API fornece uma alternativa às propriedades window.history e window.location, otimizadas para aplicativos da web de página única.
  • Um novo sinalizador, "até encontrado", foi proposto para o atributo "oculto", que torna o elemento pesquisável na página e rolável por máscara de texto. Por exemplo, você pode adicionar texto oculto a uma página, cujo conteúdo será encontrado em pesquisas locais.
  • Na API WebHID, projetada para acesso de baixo nível a dispositivos HID (dispositivos de interface humana, teclados, mouses, gamepads, touchpads) e organização do trabalho sem a presença de drivers específicos no sistema, a propriedade excludeFilters foi adicionada ao requestDevice( ), que permite excluir determinados dispositivos quando o navegador exibe uma lista de dispositivos disponíveis. Por exemplo, você pode excluir IDs de dispositivos que apresentam problemas conhecidos.
  • É proibido exibir um formulário de pagamento através de uma chamada para PaymentRequest.show() sem uma ação explícita do usuário, por exemplo, clicar em um elemento associado ao manipulador.
  • O suporte para uma implementação alternativa do protocolo SDP (Session Description Protocol) usado para estabelecer uma sessão em WebRTC foi descontinuado. O Chrome ofereceu duas opções de SDP – unificadas com outros navegadores e específicas do Chrome. A partir de agora, resta apenas a opção portátil.
  • Melhorias foram feitas nas ferramentas para desenvolvedores web. Adicionados botões ao painel Estilos para simular o uso de um tema claro e escuro. A proteção da guia Visualização no modo de inspeção de rede foi reforçada (a aplicação da Política de Segurança de Conteúdo está habilitada). O depurador implementa o encerramento de script para recarregar pontos de interrupção. Foi proposta uma implementação preliminar do novo painel “Performance insights”, que permite analisar o desempenho de determinadas operações na página.
    Versão 102 do Chrome

Além de inovações e correções de bugs, a nova versão elimina 32 vulnerabilidades. Muitas das vulnerabilidades foram identificadas como resultado de testes automatizados usando as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Um dos problemas (CVE-2022-1853) recebeu um nível crítico de perigo, o que implica a capacidade de contornar todos os níveis de proteção do navegador e executar código no sistema fora do ambiente sandbox. Detalhes sobre esta vulnerabilidade ainda não foram divulgados; sabe-se apenas que ela é causada pelo acesso a um bloco de memória liberado (use-after-free) na implementação da Indexed DB API.

Como parte do programa de recompensa em dinheiro pela descoberta de vulnerabilidades na versão atual, o Google pagou 24 prêmios no valor de US$ 65600 (um prêmio de US$ 10000, um prêmio de US$ 7500, dois prêmios de US$ 7000, três prêmios de US$ 5000, quatro prêmios de US$ 3000, dois prêmios de US$ 2000, dois prêmios de US$ 1000 e dois prêmios de US$ 500 e dois Bônus de $ 7). O tamanho das XNUMX recompensas ainda não foi determinado.

Fonte: opennet.ru

Adicionar um comentário