Google je izdal različico 142 spletnega brskalnika Chrome. Na voljo je tudi stabilna različica odprtokodnega projekta Chromium, ki je temelj Chroma. Chrome se od Chromiuma razlikuje po uporabi Googlovih logotipov, sistemu obveščanja o zrušitvah, modulih za predvajanje video vsebin, zaščitenih pred kopiranjem (DRM), samodejni namestitvi posodobitev, vedno vklopljeni izolaciji peskovnika, zagotavljanju ključev Google API in posredovanju parametrov RLZ med iskanjem. Za tiste, ki potrebujejo več časa za posodobitev, je osem tednov vzdrževana ločena razširjena stabilna veja. Naslednja izdaja, Chrome 143, je predvidena za 2. december.
Ključne spremembe v Chromu 142:
- Zaščita lokalnega dostopa do sistema je omogočena pri interakciji z javnimi spletnimi mesti. Pri dostopu do spletnega mesta v javnem ali notranjem omrežju (intranet), IP-naslovi Pri dostopu do lokalnega sistema ali vmesnika za povratno zanko (127.0.0.0/8) bo brskalnik uporabniku prikazal pogovorno okno z zahtevo po potrditvi. Zajeti so poskusi prenosa virov, zahteve fetch() in vstavljanje okvirjev iframe. Zaščita trenutno ni uporabljena za povezave prek WebSockets, WebTransport in WebRTC, vendar bo za te tehnologije dodana pozneje.
Napadalci izkoriščajo dostop do notranjih virov za izvajanje napadov CSRF na usmerjevalnike, dostopne točke, tiskalnike, spletne vmesnike podjetij in druge naprave ter storitve, ki sprejemajo samo zahteve iz lokalnega omrežja. Poleg tega se lahko skeniranje notranjih virov uporabi za posredno identifikacijo ali za zbiranje informacij o lokalnem omrežju.
- Uveden je bil enoten, poenostavljen vmesnik za povezavo z Google Računom in sinhronizacijo podatkov, kot so shranjena gesla in zaznamki. Sinhronizacija je integrirana s prijavo v račun in ni predstavljena kot ločena možnost v nastavitvah. Uporabniki lahko Chrome povežejo s svojim Google Računom in ga uporabljajo za shranjevanje gesel, zaznamkov, zgodovine brskanja in zavihkov. Ta funkcija je trenutno aktivna za nekatere uporabnike in se bo postopoma širila.
- Uporablja se nov model izolacije procesov – »Izolacija izvora«, pri katerem vsak vir vsebine (izvor – vezava protokola, domena in vrata, na primer »https://foo.example.com«), so izolirana v ločenem procesu upodabljanja. Ker lahko povečanje granularnosti izolacije povzroči večjo porabo pomnilnika in obremenitev procesorja, je novi način izolacije omogočen le v sistemih z več kot 4 GB RAM-a. Na strojni opremi z nizko porabo energije se bo še naprej uporabljal stari pristop izolacije, ki v ločenem procesu izolira vse različne vire vsebine, povezane z enim spletnim mestom (na primer foo.example.com in bar.example.com).
- На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- V različici za Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Implementacija protokola DTLS (Datagram Transport Layer Security, analog TLS za UDP), ki se uporablja za povezave WebRTC, vključuje uporabo algoritmov postkvantnega šifriranja.
- Stanje aktivacije, nastavljeno med uporabnikovo aktivnostjo na strani, se zdaj ohrani po prehodu na drugo stran v isti domeni. Ohranjanje aktivacije bo poenostavilo razvoj večstranskih spletnih aplikacij in rešilo težave, kot je nastavitev fokusa vnosa, ko spletno mesto prikaže svojo virtualno tipkovnico.
- Dodana sta bila psevdorazreda CSS »:target-before« in »:target-after«, ki definirata prejšnje in naslednje markerje glede na trenutni položaj pomikanja (»:target-current«).
- Vsebniki slogov (@container) in funkcija if() zdaj podpirata sintakso obsega, definirano v specifikaciji Media Queries Level 4, ki omogoča uporabo standardnih matematičnih primerjalnih operatorjev in logičnih operatorjev za definiranje obsegov vrednosti. Na primer, zdaj lahko določite »@container style(—inner-padding > 1em)« in »background-color: if(style(attr(data-columns, type ) > 2): svetlomodra; sicer: bela);"
- Elementa » « in » « zdaj podpirata atribut »interestfor«. Ta atribut se lahko uporabi za sprožitev dejanj, kot je prikaz pojavnega okna, ko uporabnik pokaže zanimanje za element. Brskalnik prepozna dogodke, kot so lebdenje in držanje kazalca nad elementom, pritiskanje bližnjic ali držanje dotika na zaslonu na dotik, kot kazalce zanimanja. Ko je element z atributom »interestfor« prepoznan, brskalnik ustvari dogodek InterestEvent.
- Izboljšave so bile narejene pri orodjih za spletne razvijalce. V zgornji desni kot je bil dodan gumb za hitri zagon pomočnika za umetno inteligenco. Element kontekstnega menija »Vprašaj umetno inteligenco« je bil preimenovan v »Odpravljanje napak z umetno inteligenco« in razširjen tako, da vključuje možnost izvajanja takojšnjih dejanj glede na kontekst. V spletni konzoli in kodni plošči lahko pomočnik za umetno inteligenco Gemini zdaj ustvari priporočila s kodo.
Orodja za spletne razvijalce se zdaj integrirajo z Googlovim programom za razvijalce (GDP). Razvijalci lahko zdaj dostopajo do svojega profila GDP neposredno iz orodij Chrome DevTools in zaslužijo nagrade za dokončanje določenih nalog v tem vmesniku.
Poleg novih funkcij in popravkov napak nova različica odpravlja 20 ranljivosti. Številne ranljivosti so bile odkrite z avtomatiziranim testiranjem z uporabo AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Odkritih ni bilo nobenih kritičnih težav, ki bi lahko omogočile obhod vseh plasti zaščite brskalnika in izvajanje kode zunaj peskovnika. V okviru programa nagrad za ranljivosti za trenutno izdajo je Google določil 20 nagrad v skupni vrednosti 130.000 USD (dve nagradi po 50.000 USD, ena nagrada po 10000 USD, tri nagrade po 3000 USD, dve nagradi po 2000 USD in tri nagrade po 1000 USD). Zneski osmih nagrad še niso določeni.
Poleg tega je bila v mehanizmu Blink odkrita nepopravljena ranljivost, ki povzroča sesutje in zamrznitev brskalnika pri izvajanju določene kode JavaScript. Ranljivost povzročajo arhitekturne težave v mehanizmu za upodabljanje, povezane s pomanjkanjem omejitve hitrosti posodabljanja lastnosti »document.title«. Zaradi pomanjkanja omejitve se lahko lastnost »document.title« uporabi za izvajanje več deset milijonov sprememb DOM-a na sekundo. Zaradi tega se vmesnik v nekaj sekundah zamrzne zaradi blokirane glavne niti in znatne porabe pomnilnika. Po 15–60 sekundah se brskalnik sesuje.
Vir: opennet.ru
