Chrome 142 webbläsare version

Google har släppt version 142 av webbläsaren Chrome. En stabil version av det öppna källkodsprojektet Chromium, grunden för Chrome, finns också tillgänglig. Chrome skiljer sig från Chromium genom sin användning av Google-logotyper, ett kraschmeddelandesystem, moduler för att spela upp kopieringsskyddat videoinnehåll (DRM), automatisk installation av uppdateringar, isolering av sandlådor i alltid påslagen konfiguration, provisionering av Google API-nycklar och överföring av RLZ-parametrar under sökning. För de som behöver mer tid för att uppdatera finns en separat Extended Stable-gren i åtta veckor. Nästa version, Chrome 143, är planerad till den 2 december.

Viktiga ändringar i Chrome 142:

• Skydd mot åtkomst till det lokala systemet vid interaktion med offentliga webbplatser är aktiverat. Vid åtkomst till en webbplats på ett offentligt eller internt nätverk (intranät), IP-adresser När man öppnar det lokala systemet eller loopback-gränssnittet (127.0.0.0/8) visar webbläsaren en dialogruta som begär bekräftelse. Försök att ladda ner resurser, fetch()-förfrågningar och iframe-infogningar täcks. Skydd tillämpas för närvarande inte på anslutningar via WebSockets, WebTransport och WebRTC, men kommer att läggas till för dessa tekniker senare.

  Angripare utnyttjar intern resursåtkomst för att utföra CSRF-attacker mot routrar, åtkomstpunkter, skrivare, företagswebbgränssnitt och andra enheter och tjänster som endast accepterar förfrågningar från det lokala nätverket. Dessutom kan skanning av interna resurser användas för indirekt identifiering eller för att samla in information om det lokala nätverket.
• Ett enda, förenklat gränssnitt har introducerats för att länka till ett Google-konto och synkronisera data, till exempel sparade lösenord och bokmärken. Synkronisering är integrerad med kontoinloggning och presenteras inte som ett separat alternativ i inställningarna. Användare kan ansluta Chrome till sitt Google-konto och använda det för att lagra lösenord, bokmärken, webbhistorik och flikar. Den här funktionen är för närvarande aktiv för vissa användare och kommer att utökas gradvis.
• En ny processisoleringsmodell används - "Origin Isolation", där varje innehållskälla (ursprung - en protokollbindning, domän och porten, till exempel "https://foo.example.com"), isoleras i en separat renderingsprocess. Eftersom ökad isoleringsgranularitet kan leda till ökad minnesförbrukning och CPU-belastning, är det nya isoleringsläget endast aktiverat på system med mer än 4 GB RAM. På hårdvara med låg strömförbrukning kommer den gamla isoleringsmetoden att fortsätta användas, vilket isolerar alla olika innehållskällor som är kopplade till en enda webbplats (till exempel foo.example.com och bar.example.com) i en separat process.
• På system med Windows и macOSFör appar som inte använder centraliserad Chrome-hantering har vi implementerat automatisk inaktivering av tvångsinstallerade webbläsartillägg som bryter mot mindre policyer för Chrome Web Store. Mindre överträdelser inkluderar potentiella sårbarheter, push-baserade tillägg utan användarens vetskap, manipulation av metadata, brott mot användardatapolicyer och vilseledande funktioner. Användare kan återställa inaktiverade tillägg om de så önskar.
• I versionen för AndroidI likhet med skrivbordsversioner har en varning om bedrägliga sidor som upptäcks av en stor språkmodell baserad på innehållsanalys implementerats. AI används i webbläsarens Enhanced Safe Browsing-läge. AI-modellen körs på klientsidan, men om misstänkt tvivelaktigt innehåll upptäcks utförs en ytterligare kontroll på Googles servrar.
• Implementeringen av DTLS-protokollet (Datagram Transport Layer Security, en TLS-analog för UDP) som används för WebRTC-anslutningar inkluderar användningen av postkvantumkrypteringsalgoritmer.
• Aktiveringsstatusen, som ställts in under användaraktivitet på en sida, bevaras nu efter att man navigerat till en annan sida på samma domän. Att bevara aktiveringen förenklar utvecklingen av webbapplikationer med flera sidor och löser problem som att ställa in inmatningsfokus när webbplatsen visar sitt virtuella tangentbord.
• CSS-pseudoklasserna ":target-before" och ":target-after" har lagts till för att definiera föregående och nästa markörer i förhållande till den aktuella rullningspositionen (":target-current").
• Stilbehållare (@container) och funktionen if() stöder nu den Range Syntax som definieras i Media Queries Level 4-specifikationen, vilket tillåter användning av vanliga matematiska jämförelseoperatorer och logiska operatorer för att definiera värdeintervall. Du kan till exempel nu ange "@container style(—inner-padding > 1em)" och "background-color: if(style(attr(data-columns, type ) > 2): ljusblå; annars: vit);"
• Elementen " " och " " stöder nu attributet "interestfor". Detta attribut kan användas för att utlösa åtgärder, som att visa en popup, när användaren visar intresse för elementet. Webbläsaren känner igen händelser som att hålla muspekaren över elementet, trycka på snabbtangenter eller hålla en tryckning på en pekskärm som indikatorer på intresse. När ett element med attributet "interestfor" identifieras genererar webbläsaren en InterestEvent.
• Förbättringar har gjorts i webbutvecklarverktygen. En snabbstartsknapp för AI-assistenten har lagts till i det övre högra hörnet. Kontextmenyalternativet "Fråga AI" har bytt namn till "Felsök med AI" och utökats med möjligheten att utföra omedelbara åtgärder beroende på kontext. I webbkonsolen och kodpanelen kan Gemini AI-assistenten nu generera rekommendationer med kod.

  Webbutvecklarverktyg integreras nu med Googles utvecklarprogram (GDP). Utvecklare kan nu komma åt sin GDP-profil direkt från Chrome DevTools och få belöningar för att slutföra specifika uppgifter i detta gränssnitt.

  

Förutom nya funktioner och buggfixar åtgärdar den nya versionen 20 sårbarheter. Många av sårbarheterna identifierades genom automatiserad testning med AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. Inga kritiska problem som kunde göra det möjligt att kringgå alla lager av webbläsarskydd och exekvera kod utanför sandlådemiljön identifierades. Som en del av sårbarhetsbelöningsprogrammet för den nuvarande versionen har Google fastställt 20 belöningar på totalt 130 000 dollar (två belöningar på 50 000 dollar, en belöning på 10 000 dollar, tre belöningar på 3 000 dollar, två belöningar på 2 000 dollar och tre belöningar på 1 000 dollar). Beloppen för åtta av belöningarna har ännu inte fastställts.

Dessutom har en opatchad sårbarhet identifierats i Blink-motorn, vilket gör att webbläsaren kraschar och fryser när viss JavaScript-kod körs. Sårbarheten orsakas av arkitekturproblem i renderingsmotorn relaterade till avsaknaden av en hastighetsgräns för uppdatering av egenskapen "document.title". Denna brist på begränsning gör att "document.title" kan användas för att göra tiotals miljoner ändringar i DOM:en per sekund. Detta gör att gränssnittet fryser inom några sekunder på grund av att huvudtråden blockeras och betydande minnesförbrukning. Efter 15–60 sekunder kraschar webbläsaren.

Källa: opennet.ru