Google har slÀppt version 141 av webblÀsaren Chrome. En stabil version av det öppna kÀllkodsprojektet Chromium, grunden för Chrome, finns ocksÄ tillgÀnglig. Chrome skiljer sig frÄn Chromium genom sin anvÀndning av Google-logotyper, ett kraschmeddelandesystem, moduler för att spela upp kopieringsskyddat videoinnehÄll (DRM), automatisk installation av uppdateringar, isolering av sandboxar i alltid pÄslagen konfiguration, provisionering av Google API-nycklar och överföring av RLZ-parametrar under sökning. För de som behöver mer tid för att uppdatera finns en separat Extended Stable-gren som underhÄlls i Ätta veckor. NÀsta version, Chrome 142, Àr planerad till den 28 oktober.
Viktiga Àndringar i Chrome 141:
- För vissa anvÀndare har den webblÀsarintegrerade Gemini-chatboten aktiverats. Den kan förklara innehÄllet pÄ sidan som visas och svara pÄ sidrelaterade frÄgor utan att byta frÄn den aktuella fliken. För att aktivera Gemini har en knapp lagts till i skÀrmens övre högra hörn. NÀr man klickar pÄ den visas en dialogruta som lÄter anvÀndare stÀlla frÄgor pÄ naturligt sprÄk och vÀlja flikar vars innehÄll AI:n ska beakta nÀr den genererar ett svar. Text- och röstkommunikation med boten stöds. Den hÀr funktionen Àr tillgÀnglig för amerikanska anvÀndare som har tillgÄng till Gemini-appen och anvÀnder plattformarna. macOS, iOS och Windows.
- Skydd mot Ätkomst till det lokala systemet (loopback, 127.0.0.0/8) eller interna nÀtverket (192.168.0.0/16, 10.0.0.0/8, etc.) vid interaktion med offentliga webbplatser har aktiverats. Vid försök att ladda interna resurser visar webblÀsaren nu en dialogruta som ber om bekrÀftelse. à tkomst till interna resurser anvÀnds av angripare för att utföra CSRF-attacker mot routrar, Ätkomstpunkter, skrivare, företagswebbgrÀnssnitt och andra enheter och tjÀnster som endast accepterar förfrÄgningar frÄn det lokala nÀtverket. Dessutom kan skanning av interna resurser anvÀndas för indirekt identifiering eller för att samla in information om det lokala nÀtverket.
- ĂvergĂ„ngen till en mer detaljerad processisoleringsmodell, âOrigin Isolationâ, har pĂ„börjats, dĂ€r varje innehĂ„llskĂ€lla (ursprunget Ă€r en protokollbindning, domĂ€n och port, till exempel "https://foo.example.com"), isoleras i en separat renderingsprocess. Eftersom ökad isoleringsgranularitet kan leda till ökad minnesförbrukning och CPU-belastning, Ă€r det nya isoleringslĂ€get endast aktiverat pĂ„ system med mer Ă€n 4 GB RAM. PĂ„ hĂ„rdvara med lĂ„g strömförbrukning kommer den gamla isoleringsmetoden att fortsĂ€tta anvĂ€ndas, vilket isolerar alla olika innehĂ„llskĂ€llor som Ă€r kopplade till en enda webbplats (till exempel foo.example.com och bar.example.com) i en separat process. Den hĂ€r funktionen Ă€r för nĂ€rvarande aktiverad för vissa anvĂ€ndare och kommer gradvis att utökas.
- Principen "Same Origin" har aktiverats för Storage Access API. Anrop av "document.requestStorageAccess()" frÄn kod som laddats via en iframe frÄn en annan webbplats kommer nu som standard endast att rikta in sig pÄ webbplatsen frÄn vilken iframen laddas, inte webbplatsen som Àr vÀrd för iframen.
- Lade till heuristik för att upptÀcka klientsidans avlyssning eller omdirigering till externa webbplatser av sökfrÄgor som anges i adressfÀltet eller pÄ sidan som visas nÀr en ny flik öppnas. Denna typ av avlyssning anvÀnds av vissa skadliga tillÀgg. Kontrollen utförs genom att jÀmföra anvÀndarens angivna frÄgor med sökresultatsidan som visas. Om en ersÀttning upptÀcks i sÀkert surflÀge, server Telemetri skickas till Google för mer detaljerad analys, med hÀnsyn till telemetri frÄn olika anvÀndare.
- PÄ sidan Ny flik visar den nedre panelen som visar information om tillÀgg som pÄverkar innehÄllet pÄ sidan Ny flik nu information om den enhet som hanteras centralt.
- PÄ system med anvÀndarprofiler lÀnkade till tredjepartsautentiseringsleverantörer har möjligheten att utföra fjÀrradministrationskommandon, som att rensa cachen eller cookies, implementerats.
- IndexedDB API implementerar metoden getAllRecords(), som hÀmtar alla poster frÄn ett objektarkiv (IDBObjectStore) och index (IDBIndex). getAllRecords() kombinerar funktionaliteten hos getAllKeys() och getAll() för att hÀmta bÄde primÀrnycklar och deras tillhörande vÀrden. Metoderna getAll() och getAllKeys() inkluderar nu en "direction"-parameter för att ange riktningen för datahÀmtning, vilket kan snabba upp vissa lÀsoperationer jÀmfört med att anvÀnda markörer.
- Lade till API:et "WebRTC Encoded Transform" för bearbetning av kodad mediedata som överförs via RTCPeerConnection.
- Lade till stöd för attributen "width" och "height" för kapslade element , vars storlek kan styras via CSS- eller SVG-kod.
- FörbÀttringar har gjorts i webbutvecklingsverktygen. En experimentell MCP-server (Model Context Protocol) har lagts till, vilket gör det möjligt för externa AI-assistenter att fÄ Ätkomst till Chrome DevTools-funktioner.
I skrivande stund fanns det ingen information om de ÄtgÀrdade sÄrbarheterna i tillkÀnnagivandet eller ÀndringsspÄraren.
Uppdatering: En dag efter lanseringen avslöjades information om ÄtgÀrdade sÄrbarheter. Chrome 141 ÄtgÀrdar 21 sÄrbarheter. MÄnga av sÄrbarheterna identifierades genom automatiserade tester med AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. Inga kritiska problem som kunde göra det möjligt att kringgÄ alla lager av webblÀsarskydd och exekvera kod utanför sandlÄdemiljön identifierades. Som en del av sitt sÄrbarhetsbelöningsprogram för den aktuella versionen har Google delat ut 12 belöningar pÄ totalt 50 000 dollar (en belöning pÄ vardera 25 000 dollar, 5 000 dollar, 4 000 dollar och 2 000 dollar, fyra belöningar pÄ 3 000 dollar och tvÄ belöningar pÄ 1 000 dollar). Beloppet för varje belöning har Ànnu inte faststÀllts.
KĂ€lla: opennet.ru
