Google a lansat versiunea 142 a browserului web Chrome. Este disponibilă și o versiune stabilă a proiectului open-source Chromium, fundamentul Chrome. Chrome diferă de Chromium prin utilizarea logo-urilor Google, un sistem de notificare a erorilor, module pentru redarea conținutului video protejat la copiere (DRM), instalarea automată a actualizărilor, izolarea sandbox-ului mereu activă, furnizarea cheilor API Google și transmiterea parametrilor RLZ în timpul căutării. Pentru cei care au nevoie de mai mult timp pentru actualizare, o ramură extinsă stabilă separată este menținută timp de opt săptămâni. Următoarea versiune, Chrome 143, este programată pentru 2 decembrie.
Schimbări cheie în Chrome 142:
- Protecția accesului la sistemul local este activată la interacțiunea cu site-uri web publice. La accesarea unui site web dintr-o rețea publică sau internă (intranet), Adresa mea IP Browserul va afișa o casetă de dialog utilizatorului, solicitând confirmarea operațiunii atunci când accesează sistemul local sau interfața loopback (127.0.0.0/8). Încercările de descărcare a resurselor, cererile fetch() și inserțiile iframe sunt supuse protecției. Protecția nu se aplică în prezent conexiunilor prin WebSockets, WebTransport și WebRTC, dar va fi adăugată ulterior pentru aceste tehnologii.
Atacatorii exploatează accesul la resurse interne pentru a efectua atacuri CSRF asupra routerelor, punctelor de acces, imprimantelor, interfețelor web corporative și altor dispozitive și servicii care acceptă doar solicitări din rețeaua locală. În plus, scanarea resurselor interne poate fi utilizată pentru identificare indirectă sau pentru a colecta informații despre rețeaua locală.
- A fost introdusă o interfață unică și simplificată pentru conectarea la un cont Google și sincronizarea datelor, cum ar fi parolele salvate și marcajele. Sincronizarea este integrată în conectarea la cont și nu este prezentată ca o opțiune separată în setări. Utilizatorii pot conecta Chrome la contul lor Google și îl pot utiliza pentru a stoca parole, marcaje, istoricul de navigare și file. Această funcție este activă în prezent pentru unii utilizatori și va fi extinsă treptat.
- Se utilizează un nou model de izolare a proceselor - „Izolarea originii”, în care fiecare sursă de conținut (originea - o legătură de protocol, domeniu și portul, de exemplu, „https://foo.example.com”), este izolat într-un proces separat de randare. Deoarece creșterea granularității izolării poate duce la creșterea consumului de memorie și a încărcării CPU, noul mod de izolare este activat numai pe sistemele cu mai mult de 4 GB de RAM. Pe hardware-ul cu consum redus de energie, se va continua să se utilizeze vechea abordare de izolare, care izolează toate sursele de conținut diferite asociate cu un singur site (de exemplu, foo.example.com și bar.example.com) într-un proces separat.
- Pe sistemele cu Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- În versiunea pentru Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Implementarea protocolului DTLS (Datagram Transport Layer Security, un analog TLS pentru UDP) utilizat pentru conexiunile WebRTC include utilizarea algoritmilor de criptare post-cuantică.
- Starea de activare, setată în timpul activității utilizatorului pe o pagină, este acum păstrată după navigarea către o altă pagină din același domeniu. Păstrarea activării va simplifica dezvoltarea aplicațiilor web cu mai multe pagini și va rezolva probleme precum setarea focalizării pentru introducerea datelor atunci când site-ul afișează tastatura virtuală.
- Pseudo-clasele CSS „:target-before” și „:target-after” au fost adăugate pentru a defini markerii anteriori și următori relativi la poziția curentă de derulare („:target-current”).
- Containerele de stil (@container) și funcția if() acceptă acum sintaxa Range definită în specificația Media Queries Level 4, care permite utilizarea operatorilor standard de comparație matematică și a operatorilor logici pentru a defini intervale de valori. De exemplu, acum puteți specifica „@container style(—inner-padding > 1em)” și „background-color: if(style(attr(data-columns, type)” ) > 2): albastru deschis; altfel: alb);"
- Elementele „ ” și „ ” acceptă acum atributul „interestfor”. Acest atribut poate fi utilizat pentru a declanșa acțiuni, cum ar fi afișarea unei ferestre pop-up, atunci când utilizatorul manifestă interes față de element. Browserul recunoaște evenimente precum plasarea cursorului și menținerea cursorului deasupra elementului, apăsarea tastelor rapide sau menținerea unei atingeri pe un ecran tactil ca indicatori de interes. Când este identificat un element cu atributul „interestfor”, browserul generează un InterestEvent.
- Au fost aduse îmbunătățiri instrumentelor pentru dezvoltatori web. În colțul din dreapta sus a fost adăugat un buton de lansare rapidă pentru asistentul AI. Elementul din meniul contextual „Întreabă AI” a fost redenumit „Depanare cu AI” și extins pentru a include posibilitatea de a efectua acțiuni imediate în funcție de context. În consola web și în panoul de cod, asistentul AI Gemini poate acum genera recomandări cu ajutorul codului.
Instrumentele pentru dezvoltatori web se integrează acum cu Programul pentru dezvoltatori Google (GDP). Dezvoltatorii își pot accesa acum profilul GDP direct din Chrome DevTools și pot câștiga recompense pentru îndeplinirea anumitor sarcini în cadrul acestei interfețe.
Pe lângă noile funcții și remedierile de erori, noua versiune abordează 20 de vulnerabilități. Multe dintre vulnerabilități au fost identificate prin testare automată folosind AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer și AFL. Nu au fost identificate probleme critice care ar putea permite ocolirea tuturor straturilor de protecție a browserului și executarea de cod în afara mediului sandbox. Ca parte a programului de recompense pentru vulnerabilități pentru versiunea curentă, Google a stabilit 20 de recompense în valoare totală de 130.000 de dolari (două recompense de 50.000 de dolari, una de 10000 de dolari, trei recompense de 3000 de dolari, două recompense de 2000 de dolari și trei recompense de 1000 de dolari). Valorile a opt dintre recompense nu au fost încă stabilite.
În plus, a fost identificată o vulnerabilitate necorectată în motorul Blink, care provoacă blocarea și blocarea browserului la executarea anumitor coduri JavaScript. Vulnerabilitatea este cauzată de probleme arhitecturale ale motorului de randare legate de lipsa unei limite de rată la actualizarea proprietății „document.title”. Această lipsă de limitare permite ca „document.title” să fie utilizat pentru a face zeci de milioane de modificări la DOM pe secundă. Acest lucru face ca interfața să se blocheze în câteva secunde din cauza blocării firului principal și a consumului semnificativ de memorie. După 15-60 de secunde, browserul se blochează.
Sursa: opennet.ru
