Spoločnosť Google vydala verziu 142 webového prehliadača Chrome. K dispozícii je aj stabilná verzia open-source projektu Chromium, ktorý je základom prehliadača Chrome. Chrome sa od prehliadača Chromium líši používaním loga Google, systémom upozornení na zlyhania, modulmi na prehrávanie videoobsahu chráneného proti kopírovaniu (DRM), automatickou inštaláciou aktualizácií, izoláciou v sandboxe vždy zapnutou, poskytovaním kľúčov rozhrania Google API a odovzdávaním parametrov RLZ počas vyhľadávania. Pre tých, ktorí potrebujú viac času na aktualizáciu, je k dispozícii samostatná vetva Extended Stable, ktorá je udržiavaná osem týždňov. Ďalšie vydanie, Chrome 143, je naplánované na 2. decembra.
Kľúčové zmeny v Chrome 142:
- Ochrana prístupu k lokálnemu systému je zapnutá pri interakcii s verejnými webovými stránkami. Pri prístupe na webovú stránku vo verejnej alebo internej sieti (intranet), Moja IP adresa Pri prístupe k lokálnemu systému alebo rozhraniu spätnej slučky (127.0.0.0/8) prehliadač zobrazí používateľovi dialógové okno so žiadosťou o potvrdenie. Pokusy o stiahnutie zdrojov, požiadavky fetch() a vkladanie prvkov iframe sú chránené. Ochrana sa momentálne nevzťahuje na pripojenia prostredníctvom WebSockets, WebTransport a WebRTC, ale pre tieto technológie bude pridaná neskôr.
Útočníci zneužívajú prístup k interným zdrojom na vykonávanie CSRF útokov na smerovače, prístupové body, tlačiarne, firemné webové rozhrania a ďalšie zariadenia a služby, ktoré prijímajú iba požiadavky z lokálnej siete. Okrem toho je možné skenovanie interných zdrojov použiť na nepriamu identifikáciu alebo na zhromažďovanie informácií o lokálnej sieti.
- Bolo zavedené jednotné, zjednodušené rozhranie na prepojenie s účtom Google a synchronizáciu údajov, ako sú uložené heslá a záložky. Synchronizácia je integrovaná s prihlásením do účtu a nie je zobrazená ako samostatná možnosť v nastaveniach. Používatelia môžu prepojiť prehliadač Chrome so svojím účtom Google a používať ho na ukladanie hesiel, záložiek, histórie prehliadania a kariet. Táto funkcia je momentálne aktívna pre niektorých používateľov a bude postupne rozširovaná.
- Používa sa nový model izolácie procesov – „izolácia pôvodu“, v ktorom každý zdroj obsahu (pôvod – väzba protokolu, domény a port, napríklad „https://foo.example.com“), je izolovaný v samostatnom procese vykresľovania. Keďže zvýšenie granularity izolácie môže viesť k zvýšenej spotrebe pamäte a zaťaženiu CPU, nový režim izolácie je povolený iba v systémoch s viac ako 4 GB RAM. Na hardvéri s nízkou spotrebou energie sa bude naďalej používať starý prístup k izolácii, ktorý izoluje všetky rôzne zdroje obsahu spojené s jednou stránkou (napríklad foo.example.com a bar.example.com) v samostatnom procese.
- На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Vo verzii pre Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Implementácia protokolu DTLS (Datagram Transport Layer Security, analóg TLS pre UDP) používaného pre pripojenia WebRTC zahŕňa použitie postkvantových šifrovacích algoritmov.
- Stav aktivácie nastavený počas aktivity používateľa na stránke sa teraz zachová aj po prechode na inú stránku v rovnakej doméne. Zachovanie aktivácie zjednoduší vývoj viacstránkových webových aplikácií a vyrieši problémy, ako je nastavenie fokusu vstupu, keď stránka zobrazuje svoju virtuálnu klávesnicu.
- Boli pridané CSS pseudotriedy „:target-before“ a „:target-after“ na definovanie predchádzajúcich a nasledujúcich značiek vzhľadom na aktuálnu pozíciu posúvania („:target-current“).
- Kontajnery štýlov (@container) a funkcia if() teraz podporujú syntax rozsahu definovanú v špecifikácii Media Queries Level 4, ktorá umožňuje použitie štandardných matematických porovnávacích operátorov a logických operátorov na definovanie rozsahov hodnôt. Napríklad teraz môžete zadať „@container style(—inner-padding > 1em)“ a „background-color: if(style(attr(data-columns, type ) > 2): svetlomodrá; inak: biela);"
- Prvky „ “ a „ “ teraz podporujú atribút „interestfor“. Tento atribút je možné použiť na spustenie akcií, ako je zobrazenie vyskakovacieho okna, keď používateľ prejaví záujem o prvok. Prehliadač rozpoznáva udalosti, ako je podržanie kurzora myši nad prvkom, stlačenie klávesových skratiek alebo podržanie dotyku na dotykovej obrazovke, ako indikátory záujmu. Keď je identifikovaný prvok s atribútom „interestfor“, prehliadač vygeneruje udalosť InterestEvent.
- Vylepšené boli nástroje pre webových vývojárov. Do pravého horného rohu bolo pridané tlačidlo rýchleho spustenia asistenta AI. Položka kontextovej ponuky „Opýtať sa AI“ bola premenovaná na „Ladiť s AI“ a rozšírená o možnosť vykonávať okamžité akcie v závislosti od kontextu. Vo webovej konzole a paneli kódu teraz asistent AI Gemini dokáže generovať odporúčania s kódom.
Nástroje pre webových vývojárov sa teraz integrujú s programom Google Developer Program (GDP). Vývojári teraz môžu pristupovať k svojmu profilu GDP priamo z nástroja Chrome DevTools a získavať odmeny za splnenie konkrétnych úloh v tomto rozhraní.
Okrem nových funkcií a opráv chýb nová verzia rieši 20 zraniteľností. Mnohé zo zraniteľností boli identifikované prostredníctvom automatizovaného testovania pomocou nástrojov AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Neboli identifikované žiadne kritické problémy, ktoré by mohli umožniť obísť všetky vrstvy ochrany prehliadača a spustiť kód mimo prostredia sandbox. V rámci programu odmien za zraniteľnosti pre aktuálnu verziu spoločnosť Google stanovila 20 odmien v celkovej výške 130 000 USD (dve odmeny po 50 000 USD, jedna odmena 10 000 USD, tri odmeny 3 000 USD, dve odmeny 2 000 USD a tri odmeny po 1 000 USD). Výška ôsmich odmien ešte nebola stanovená.
Okrem toho bola v engine Blink identifikovaná neopravená zraniteľnosť, ktorá spôsobuje pád a zamrznutie prehliadača pri vykonávaní určitého kódu JavaScript. Zraniteľnosť je spôsobená architektonickými problémami v renderovacom engine, ktoré súvisia s absenciou limitu rýchlosti aktualizácie vlastnosti „document.title“. Tento nedostatok obmedzenia umožňuje použiť vlastnosť „document.title“ na vykonávanie desiatok miliónov zmien v DOM za sekundu. To spôsobuje, že rozhranie zamrzne v priebehu niekoľkých sekúnd kvôli blokovaniu hlavného vlákna a značnej spotrebe pamäte. Po 15 – 60 sekundách prehliadač zlyhá.
Zdroj: opennet.ru
