โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > Chrome รุ่น 90

Chrome รุ่น 90

Google ได้เปิดตัวเว็บเบราว์เซอร์ Chrome 90 ในขณะเดียวกันก็มีการเปิดตัวโครงการ Chromium ฟรีซึ่งทำหน้าที่เป็นพื้นฐานของ Chrome อย่างเสถียร เบราว์เซอร์ Chrome มีความโดดเด่นด้วยการใช้โลโก้ Google, การมีระบบสำหรับส่งการแจ้งเตือนในกรณีที่เกิดข้อขัดข้อง, โมดูลสำหรับการเล่นเนื้อหาวิดีโอที่มีการป้องกัน (DRM), ระบบสำหรับการติดตั้งการอัปเดตอัตโนมัติ และการส่งพารามิเตอร์ RLZ เมื่อค้นหา Chrome 91 รุ่นถัดไปมีกำหนดการในวันที่ 25 พฤษภาคม

การเปลี่ยนแปลงที่สำคัญใน Chrome 90:

  • ผู้ใช้ทุกคนสามารถเปิดไซต์ผ่าน HTTPS เป็นค่าเริ่มต้นเมื่อพิมพ์ชื่อโฮสต์ในแถบที่อยู่ ตัวอย่างเช่น เมื่อคุณเข้าสู่โฮสต์ example.com ไซต์ https://example.com จะถูกเปิดตามค่าเริ่มต้น และหากมีปัญหาเกิดขึ้นเมื่อเปิด ไซต์จะถูกย้อนกลับไปที่ http://example.com หากต้องการควบคุมการใช้ค่าเริ่มต้น “https://” ระบบจะเสนอการตั้งค่า “chrome://flags#omnibox-default-typed-navigations-to-https”
  • ตอนนี้คุณสามารถกำหนดป้ายกำกับที่แตกต่างกันให้กับหน้าต่างเพื่อแยกออกจากกันในแผงเดสก์ท็อปได้ การสนับสนุนการเปลี่ยนชื่อหน้าต่างจะช่วยลดความยุ่งยากในการจัดระเบียบงานเมื่อใช้หน้าต่างเบราว์เซอร์แยกสำหรับงานที่แตกต่างกัน เช่น เมื่อเปิดหน้าต่างแยกสำหรับงานงาน ความสนใจส่วนบุคคล ความบันเทิง วัสดุรอการตัดบัญชี เป็นต้น ชื่อจะเปลี่ยนไปผ่านรายการ "เพิ่มชื่อหน้าต่าง" ในเมนูบริบทที่ปรากฏขึ้นเมื่อคุณคลิกขวาที่พื้นที่ว่างในแถบแท็บ หลังจากเปลี่ยนชื่อในแผงแอปพลิเคชัน ชื่อที่เลือกจะปรากฏขึ้นแทนชื่อไซต์จากแท็บที่ใช้งาน ซึ่งจะมีประโยชน์เมื่อเปิดไซต์เดียวกันในหน้าต่างที่แตกต่างกันซึ่งเชื่อมโยงกับบัญชีแยกกัน การเชื่อมโยงจะคงอยู่ระหว่างเซสชัน และหลังจากรีสตาร์ท หน้าต่างจะถูกกู้คืนด้วยชื่อที่เลือก
    Chrome รุ่น 90
  • เพิ่มความสามารถในการซ่อน “เรื่องรออ่าน” โดยไม่ต้องเปลี่ยนการตั้งค่าใน “chrome://flags” (“chrome://flags#read-later”) หากต้องการซ่อน คุณสามารถใช้ตัวเลือก "แสดงรายการเรื่องรออ่าน" ที่ด้านล่างของเมนูบริบทที่แสดงเมื่อคุณคลิกขวาที่แถบบุ๊กมาร์ก เราขอเตือนคุณว่าในรุ่นล่าสุด เมื่อผู้ใช้บางคนคลิกที่เครื่องหมายดอกจันในแถบที่อยู่ นอกเหนือจากปุ่ม "เพิ่มบุ๊กมาร์ก" แล้ว ปุ่มที่สอง "เพิ่มในรายการเรื่องรออ่าน" จะปรากฏขึ้น และที่มุมขวาของ แผงบุ๊กมาร์ก เมนู "เรื่องรออ่าน" จะปรากฏขึ้น ซึ่งแสดงรายการหน้าทั้งหมดที่เพิ่มลงในรายการก่อนหน้านี้ เมื่อคุณเปิดเพจจากรายการ หน้านั้นจะถูกทำเครื่องหมายว่าอ่านแล้ว หน้าในรายการสามารถทำเครื่องหมายว่าอ่านแล้วหรือยังไม่ได้อ่านด้วยตนเองหรือลบออกจากรายการได้
  • เพิ่มการรองรับการแบ่งส่วนเครือข่ายเพื่อป้องกันวิธีการติดตามการเคลื่อนไหวของผู้ใช้ระหว่างไซต์ตามการจัดเก็บตัวระบุในพื้นที่ที่ไม่ได้มีไว้สำหรับการจัดเก็บข้อมูลถาวร (“Supercookies”) เนื่องจากทรัพยากรที่แคชถูกจัดเก็บไว้ในเนมสเปซทั่วไป โดยไม่คำนึงถึงโดเมนต้นทาง ไซต์หนึ่งจึงสามารถระบุได้ว่าไซต์อื่นกำลังโหลดทรัพยากรโดยการตรวจสอบว่าทรัพยากรนั้นอยู่ในแคชหรือไม่ การป้องกันขึ้นอยู่กับการใช้การแบ่งส่วนเครือข่าย (การแบ่งพาร์ติชันเครือข่าย) สาระสำคัญของมันคือการเพิ่มการเชื่อมโยงบันทึกเพิ่มเติมไปยังโดเมนที่เปิดหน้าหลักลงในแคชที่ใช้ร่วมกันซึ่งจำกัดความครอบคลุมของแคชสำหรับสคริปต์ติดตามการเคลื่อนไหวเท่านั้น ไปยังไซต์ปัจจุบัน (สคริปต์จาก iframe จะไม่สามารถตรวจสอบได้ว่าทรัพยากรถูกดาวน์โหลดจากไซต์อื่นหรือไม่) ราคาของการแบ่งส่วนคือประสิทธิภาพแคชลดลง ส่งผลให้เวลาในการโหลดหน้าเว็บเพิ่มขึ้นเล็กน้อย (สูงสุด 1.32% แต่สำหรับ 80% ของไซต์ 0.09-0.75%)
  • บัญชีดำของพอร์ตเครือข่ายที่มีการบล็อกการส่งคำขอ HTTP, HTTPS และ FTP ได้รับการเติมเต็มเพื่อป้องกันการโจมตีแบบสลิปสตรีม NAT ซึ่งช่วยให้สามารถสร้างเครือข่ายเมื่อเปิดหน้าเว็บที่เตรียมโดยผู้โจมตีในเบราว์เซอร์เป็นพิเศษ การเชื่อมต่อจากเซิร์ฟเวอร์ของผู้โจมตีไปยังพอร์ต UDP หรือ TCP บนระบบของผู้ใช้ แม้ว่าจะใช้ช่วงที่อยู่ภายใน (192.168.xx, 10.xxx) เพิ่ม 554 (โปรโตคอล RTSP) และ 10080 (ใช้ในการสำรองข้อมูล Amanda และ VMWare vCenter) ในรายการพอร์ตที่ไม่ได้รับอนุญาต ก่อนหน้านี้พอร์ต 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061 และ 6566 ถูกบล็อกไปแล้ว
  • เพิ่มการรองรับเบื้องต้นสำหรับการเปิดเอกสาร PDF ด้วยแบบฟอร์ม XFA ในเบราว์เซอร์
  • สำหรับผู้ใช้บางราย มีการเปิดใช้งานส่วนการตั้งค่าใหม่ “การตั้งค่า Chrome > ความเป็นส่วนตัวและความปลอดภัย > แซนด์บ็อกซ์ความเป็นส่วนตัว” ซึ่งช่วยให้คุณสามารถจัดการพารามิเตอร์ของ FLoC API โดยมีวัตถุประสงค์เพื่อกำหนดหมวดหมู่ความสนใจของผู้ใช้โดยไม่ต้องระบุตัวตนส่วนบุคคลและไม่ต้องอ้างอิงถึง ประวัติการเข้าชมไซต์เฉพาะ
  • การแจ้งเตือนที่ชัดเจนยิ่งขึ้นพร้อมรายการการดำเนินการที่อนุญาตจะปรากฏขึ้นเมื่อผู้ใช้เชื่อมต่อกับโปรไฟล์ที่เปิดใช้งานการจัดการแบบรวมศูนย์
  • ทำให้อินเทอร์เฟซคำขอสิทธิ์รบกวนน้อยลง คำขอที่ผู้ใช้มีแนวโน้มที่จะไม่อนุมัติจะถูกบล็อกโดยอัตโนมัติด้วยตัวบ่งชี้ที่เกี่ยวข้องซึ่งแสดงอยู่ในแถบที่อยู่ ซึ่งผู้ใช้สามารถไปที่อินเทอร์เฟซเพื่อจัดการสิทธิ์ในแต่ละไซต์ได้
    Chrome รุ่น 90
  • การสนับสนุนส่วนขยาย Intel CET (Intel Control-flow Enforcement Technology) รวมอยู่ด้วยสำหรับการป้องกันฮาร์ดแวร์จากช่องโหว่ที่สร้างขึ้นโดยใช้เทคนิคการเขียนโปรแกรมแบบส่งคืน (ROP, โปรแกรมแบบเน้นผลตอบแทน)
  • งานยังคงเปลี่ยนเบราว์เซอร์ไปใช้คำศัพท์แบบรวม ไฟล์ "master_preferences" ได้รับการเปลี่ยนชื่อเป็น "initial_preferences" เพื่อหลีกเลี่ยงการทำลายความรู้สึกของผู้ใช้ที่มองว่าคำว่า "master" เป็นคำใบ้เกี่ยวกับอดีตทาสของบรรพบุรุษของพวกเขา เพื่อรักษาความเข้ากันได้ การสนับสนุน "master_preferences" จะยังคงอยู่ในเบราว์เซอร์เป็นระยะเวลาหนึ่ง ก่อนหน้านี้ เบราว์เซอร์ได้กำจัดการใช้คำว่า "บัญชีขาว" "บัญชีดำ" และ "ดั้งเดิม" ออกไปแล้ว
  • ในเวอร์ชัน Android เมื่อเปิดใช้งานโหมดประหยัดการรับส่งข้อมูล "Lite" บิตเรตจะลดลงเมื่อดาวน์โหลดวิดีโอเมื่อเชื่อมต่อผ่านเครือข่ายของผู้ให้บริการมือถือ ซึ่งจะลดต้นทุนของผู้ใช้ที่เปิดใช้งานภาษีตามปริมาณการรับส่งข้อมูล โหมด "Lite" ยังมีการบีบอัดรูปภาพที่ร้องขอจากแหล่งข้อมูลสาธารณะ (ไม่ต้องใช้การตรวจสอบสิทธิ์) ผ่าน HTTPS
  • เพิ่มตัวเข้ารหัสรูปแบบวิดีโอ AV1 ซึ่งได้รับการปรับให้เหมาะสมเป็นพิเศษสำหรับใช้ในการประชุมทางวิดีโอโดยใช้โปรโตคอล WebRTC การใช้ AV1 ในการประชุมทางวิดีโอทำให้สามารถเพิ่มประสิทธิภาพการบีบอัดและให้ความสามารถในการออกอากาศบนช่องสัญญาณที่มีแบนด์วิดท์ 30 kbit/วินาที
  • ใน JavaScript วัตถุ Array, String และ TypedArrays ใช้เมธอด at() ซึ่งช่วยให้คุณใช้การจัดทำดัชนีแบบสัมพันธ์ (ระบุตำแหน่งสัมพัทธ์เป็นดัชนีอาร์เรย์) รวมถึงการระบุค่าลบที่สัมพันธ์กับจุดสิ้นสุด (เช่น "arr.at(-1)" จะส่งกลับองค์ประกอบสุดท้ายของอาร์เรย์)
  • JavaScript ได้เพิ่มคุณสมบัติ “.indices” สำหรับนิพจน์ทั่วไป ซึ่งมีอาร์เรย์ที่มีตำแหน่งเริ่มต้นและสิ้นสุดของกลุ่มรายการที่ตรงกัน คุณสมบัติจะถูกเติมเฉพาะเมื่อดำเนินการนิพจน์ทั่วไปด้วยแฟล็ก "/d" const ใหม่ = /(a)(b)/d; const m = re.exec('ab'); console.log(m.indices[0]); // 0 — กลุ่มการแข่งขันทั้งหมด // → [0, 2] console.log(m.indices[1]); // 1 คือกลุ่มแรกของการจับคู่ // → [0, 1] console.log(m.indices[2]); // 2 - การแข่งขันกลุ่มที่สอง // → [1, 2]
  • ประสิทธิภาพของคุณสมบัติ "super" (เช่น super.x) ซึ่งเปิดใช้งานแคชแบบอินไลน์ได้รับการปรับให้เหมาะสมแล้ว ขณะนี้ประสิทธิภาพของการใช้ "super" ใกล้เคียงกับประสิทธิภาพของการเข้าถึงคุณสมบัติปกติแล้ว
  • การเรียกใช้ฟังก์ชัน WebAssembly จาก JavaScript ได้รับการเร่งความเร็วอย่างมากเนื่องจากการใช้งานแบบอินไลน์ การเพิ่มประสิทธิภาพนี้ยังคงอยู่ในช่วงทดลองและจำเป็นต้องรันด้วยแฟล็ก "-turbo-inline-js-wasm-calls"
  • เพิ่ม WebXR Depth Sensing API ซึ่งช่วยให้คุณสามารถกำหนดระยะห่างระหว่างวัตถุในสภาพแวดล้อมของผู้ใช้และอุปกรณ์ของผู้ใช้ได้ เช่น เพื่อสร้างแอปพลิเคชันความเป็นจริงเสริมที่สมจริงยิ่งขึ้น เราขอเตือนคุณว่า WebXR API ช่วยให้คุณสามารถรวมการทำงานเข้ากับอุปกรณ์ความเป็นจริงเสมือนประเภทต่างๆ ตั้งแต่หมวกกันน็อค 3 มิติแบบอยู่กับที่ไปจนถึงโซลูชันที่ใช้อุปกรณ์เคลื่อนที่
  • คุณสมบัติการประมาณค่าแสงของ WebXR AR ได้รับความเสถียร ทำให้เซสชัน WebXR AR สามารถกำหนดพารามิเตอร์แสงโดยรอบเพื่อให้โมเดลดูเป็นธรรมชาติยิ่งขึ้น และผสานรวมเข้ากับสภาพแวดล้อมของผู้ใช้ได้ดียิ่งขึ้น
  • โหมด Origin Trials (ฟีเจอร์ทดลองที่ต้องเปิดใช้งานแยกต่างหาก) เพิ่ม API ใหม่หลายตัวที่ปัจจุบันจำกัดเฉพาะแพลตฟอร์ม Android Origin Trial หมายถึงความสามารถในการทำงานกับ API ที่ระบุจากแอปพลิเคชันที่ดาวน์โหลดจาก localhost หรือ 127.0.0.1 หรือหลังจากการลงทะเบียนและรับโทเค็นพิเศษซึ่งใช้ได้ในระยะเวลาจำกัดสำหรับไซต์เฉพาะ
    • เมธอด getCurrentBrowsingContextMedia() ซึ่งทำให้สามารถจับภาพสตรีมวิดีโอ MediaStream ที่สะท้อนถึงเนื้อหาของแท็บปัจจุบันได้ ต่างจากเมธอด getDisplayMedia() ที่คล้ายกัน เมื่อเรียก getCurrentBrowsingContextMedia() จะมีการแสดงกล่องโต้ตอบง่ายๆ ให้ผู้ใช้เห็นเพื่อยืนยันหรือบล็อกการดำเนินการถ่ายโอนวิดีโอที่มีเนื้อหาของแท็บ
    • Insertable Streams API ซึ่งช่วยให้คุณสามารถจัดการสตรีมสื่อดิบที่ส่งผ่าน MediaStreamTrack API เช่น ข้อมูลกล้องและไมโครโฟน ผลการจับภาพหน้าจอ หรือข้อมูลการถอดรหัสตัวแปลงสัญญาณระดับกลาง อินเทอร์เฟซ WebCodec ใช้เพื่อนำเสนอเฟรมดิบและสตรีมจะถูกสร้างขึ้นคล้ายกับสิ่งที่ WebRTC Insertable Streams API สร้างขึ้นตาม RTCPeerConnections ในทางปฏิบัติ API ใหม่ช่วยให้มีฟังก์ชันต่างๆ เช่น การใช้เทคนิคการเรียนรู้ของเครื่องเพื่อระบุหรือใส่คำอธิบายประกอบให้กับวัตถุแบบเรียลไทม์ หรือเพิ่มเอฟเฟ็กต์ เช่น การคลิปพื้นหลังก่อนการเข้ารหัสหรือหลังการถอดรหัสด้วยตัวแปลงสัญญาณ
    • ความสามารถในการจัดแพ็คเกจทรัพยากรเป็นแพ็คเกจ (Web Bundle) เพื่อจัดระเบียบการโหลดไฟล์ที่มาพร้อมกันจำนวนมากอย่างมีประสิทธิภาพมากขึ้น (สไตล์ CSS, JavaScript, รูปภาพ, iframe) ในบรรดาข้อบกพร่องในการรองรับแพ็คเกจที่มีอยู่สำหรับไฟล์ JavaScript (webpack) ซึ่ง Web Bundle พยายามกำจัด: ตัวแพ็คเกจเอง แต่ไม่ใช่ส่วนประกอบของแพ็คเกจสามารถจบลงในแคช HTTP; การรวบรวมและการดำเนินการสามารถเริ่มได้หลังจากดาวน์โหลดแพ็คเกจเสร็จสมบูรณ์แล้วเท่านั้น ทรัพยากรเพิ่มเติม เช่น CSS และรูปภาพต้องได้รับการเข้ารหัสในรูปแบบของสตริง JavaScript ซึ่งจะเพิ่มขนาดและต้องมีขั้นตอนการแยกวิเคราะห์อื่น
    • รองรับการจัดการข้อยกเว้นใน WebAssembly
  • ทำให้ Declarative Shadow DOM API มีความเสถียรเพื่อสร้างสาขารูทใหม่ใน Shadow DOM เช่น เพื่อแยกสไตล์องค์ประกอบบุคคลที่สามที่นำเข้าและสาขาย่อย DOM ที่เกี่ยวข้องออกจากเอกสารหลัก API ที่เปิดเผยที่นำเสนออนุญาตให้คุณใช้เฉพาะ HTML เพื่อเลิกปักหมุดสาขา DOM โดยไม่จำเป็นต้องเขียนโค้ด JavaScript
  • คุณสมบัติ CSS อัตราส่วนกว้างยาวซึ่งช่วยให้คุณสามารถผูกอัตราส่วนกว้างยาวกับองค์ประกอบใด ๆ อย่างชัดเจน (เพื่อคำนวณขนาดที่ขาดหายไปโดยอัตโนมัติเมื่อระบุเฉพาะความสูงหรือความกว้าง) ใช้ความสามารถในการประมาณค่าระหว่างภาพเคลื่อนไหว (การเปลี่ยนแปลงที่ราบรื่นจากที่หนึ่ง อัตราส่วนภาพต่ออีกภาพหนึ่ง)
  • เพิ่มความสามารถในการสะท้อนสถานะขององค์ประกอบ HTML ที่กำหนดเองใน CSS ผ่านคลาสหลอก “:state()” ฟังก์ชั่นนี้ถูกนำมาใช้โดยการเปรียบเทียบกับความสามารถขององค์ประกอบ HTML มาตรฐานในการเปลี่ยนสถานะขึ้นอยู่กับการโต้ตอบของผู้ใช้
  • คุณสมบัติ CSS "ลักษณะที่ปรากฏ" ตอนนี้สนับสนุนค่า 'อัตโนมัติ' ซึ่งถูกกำหนดโดยค่าเริ่มต้นสำหรับ และ และบนแพลตฟอร์ม Android เพิ่มเติมสำหรับ , , , และ .
  • เพิ่มการรองรับค่า "คลิป" ให้กับคุณสมบัติ CSS "ล้น" แล้ว เมื่อตั้งค่าแล้ว เนื้อหาที่ขยายเกินบล็อกจะถูกตัดจนถึงขีดจำกัดของการล้นที่อนุญาตของบล็อกโดยไม่มีความเป็นไปได้ในการเลื่อน ค่าที่กำหนดว่าเนื้อหาสามารถขยายออกไปเกินขอบเขตจริงของกล่องได้ไกลแค่ไหนก่อนที่จะเริ่มการตัดจะถูกตั้งค่าผ่านคุณสมบัติ CSS ใหม่ "overflow-clip-margin" เมื่อเปรียบเทียบกับ "overflow: ซ่อนเร้น" การใช้ "overflow: clip" ช่วยให้ได้ประสิทธิภาพที่ดีขึ้น
    Chrome รุ่น 90Chrome รุ่น 90
  • ส่วนหัว HTTP นโยบายคุณลักษณะได้ถูกแทนที่ด้วยส่วนหัว Permissions-Policy ใหม่เพื่อควบคุมการมอบหมายสิทธิ์และการเปิดใช้งานคุณลักษณะขั้นสูง ซึ่งรวมถึงการสนับสนุนค่าฟิลด์ที่มีโครงสร้าง (ตัวอย่างเช่น ขณะนี้คุณสามารถระบุ "Permissions-Policy: Geolocation) =()" แทน "คุณลักษณะ- นโยบาย: ตำแหน่งทางภูมิศาสตร์ 'ไม่มี'")
  • การป้องกันที่เข้มแข็งยิ่งขึ้นต่อการใช้ Protocol Buffers สำหรับการโจมตีที่เกิดจากการดำเนินการคำสั่งแบบเก็งกำไรในโปรเซสเซอร์ การป้องกันจะดำเนินการโดยการเพิ่มประเภท MIME “application/x-protobuffer” ลงในรายการประเภท MIME ที่ไม่เคยดักฟัง ซึ่งประมวลผลผ่านกลไก Cross-Origin-Read-Blocking ก่อนหน้านี้ ประเภท MIME “application/x-protobuf” ถูกรวมไว้ในรายการที่คล้ายกันแล้ว แต่ “application/x-protobuffer” ถูกละไว้
  • File System Access API ใช้ความสามารถในการเปลี่ยนตำแหน่งปัจจุบันในไฟล์เลยจุดสิ้นสุด โดยเติมช่องว่างผลลัพธ์ด้วยศูนย์ในระหว่างการเขียนครั้งต่อไปผ่านการเรียก FileSystemWritableFileStream.write() คุณสมบัตินี้ช่วยให้คุณสร้างไฟล์กระจัดกระจายที่มีพื้นที่ว่างและลดความยุ่งยากในการจัดการการเขียนไปยังสตรีมไฟล์ด้วยการมาถึงของบล็อกข้อมูลแบบไม่เรียงลำดับ (ตัวอย่างเช่นสิ่งนี้ฝึกฝนใน BitTorrent)
  • เพิ่มตัวสร้าง StaticRange พร้อมการใช้งานประเภทช่วงน้ำหนักเบาที่ไม่จำเป็นต้องอัปเดตวัตถุที่เกี่ยวข้องทั้งหมดทุกครั้งที่แผนผัง DOM เปลี่ยนแปลง
  • ใช้ความสามารถในการระบุพารามิเตอร์ความกว้างและความสูงสำหรับองค์ประกอบ ระบุไว้ภายในองค์ประกอบ . คุณลักษณะนี้ช่วยให้คุณคำนวณอัตราส่วนกว้างยาวขององค์ประกอบต่างๆ ได้ โดยการเปรียบเทียบกับวิธีการทำ , และ .
  • การสนับสนุนที่ไม่ได้มาตรฐานสำหรับช่องข้อมูล RTP ได้ถูกลบออกจาก WebRTC แล้ว และขอแนะนำให้ใช้ช่องข้อมูลแบบ SCTP แทน
  • ตอนนี้คุณสมบัติ navigator.plugins และ navigator.mimeTypes ส่งคืนค่าว่างเสมอ (หลังจากการสนับสนุน Flash สิ้นสุดลง คุณสมบัติเหล่านี้ก็ไม่จำเป็นอีกต่อไป)
  • มีการปรับปรุงเล็กๆ น้อยๆ ส่วนใหญ่ในเครื่องมือสำหรับนักพัฒนาเว็บ และมีการเพิ่มเครื่องมือแก้ไขจุดบกพร่อง CSS ใหม่ flexbox อีกด้วย
    Chrome รุ่น 90

นอกเหนือจากนวัตกรรมและการแก้ไขข้อบกพร่องแล้ว เวอร์ชันใหม่ยังกำจัดช่องโหว่ 37 รายการ ช่องโหว่จำนวนมากถูกระบุอันเป็นผลมาจากการทดสอบอัตโนมัติโดยใช้เครื่องมือ AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer และ AFL ไม่พบปัญหาสำคัญที่ทำให้สามารถข้ามการป้องกันเบราว์เซอร์ทุกระดับและรันโค้ดบนระบบภายนอกสภาพแวดล้อมแซนด์บ็อกซ์ ในฐานะส่วนหนึ่งของโปรแกรมรางวัลเงินสดสำหรับการค้นพบช่องโหว่สำหรับรุ่นปัจจุบัน Google จ่ายเงินรางวัล 19 รางวัลมูลค่า 54000 ดอลลาร์ (หนึ่งรางวัล $20000 หนึ่งรางวัล $10000 หนึ่งรางวัล รางวัล $5000 สองรางวัล สามรางวัล $3000 สามรางวัล $2000 หนึ่งรางวัล รางวัล $1000 หนึ่งรางวัล และรางวัล $500 สี่รางวัล ). ). ขนาดของรางวัลทั้ง 6 ยังไม่ได้กำหนด

แยกจากกันสามารถสังเกตได้ว่าเมื่อวานนี้หลังจากการก่อตัวของรุ่นแก้ไข 89.0.4389.128 แต่ก่อนการเปิดตัว Chrome 90 มีการเผยแพร่ช่องโหว่อื่นซึ่งใช้ช่องโหว่ 0 วันใหม่ที่ไม่ได้รับการแก้ไขใน Chrome 89.0.4389.128 . ยังไม่ชัดเจนว่าปัญหานี้ได้รับการแก้ไขแล้วใน Chrome 90 หรือไม่ เช่นเดียวกับในกรณีแรก ช่องโหว่นี้ครอบคลุมช่องโหว่เพียงจุดเดียวและไม่มีโค้ดที่จะเลี่ยงการแยกแซนด์บ็อกซ์ (เมื่อเรียกใช้ Chrome ด้วยแฟล็ก “--no-sandbox” การใช้ประโยชน์เกิดขึ้นเมื่อเปิดหน้าเว็บบนแพลตฟอร์ม Windows ช่วยให้คุณสามารถเรียกใช้ Notepad) ช่องโหว่ที่เกี่ยวข้องกับช่องโหว่ใหม่ส่งผลกระทบต่อเทคโนโลยี WebAssembly

ที่มา: opennet.ru

เพิ่มความคิดเห็น