Inilabas ng Google ang bersyon 142 ng web browser ng Chrome. Available din ang isang matatag na paglabas ng open-source na proyekto ng Chromium, ang pundasyon ng Chrome. Naiiba ang Chrome sa Chromium sa paggamit nito ng mga logo ng Google, isang crash notification system, mga module para sa paglalaro ng copy-protected na video content (DRM), awtomatikong pag-install ng update, palaging naka-on na sandbox isolation, provisioning ng mga Google API key, at ang pagpasa ng mga parameter ng RLZ habang naghahanap. Para sa mga nangangailangan ng mas maraming oras upang mag-update, isang hiwalay na Extended Stable na sangay ang pinananatili sa loob ng walong linggo. Ang susunod na release, ang Chrome 143, ay naka-iskedyul para sa Disyembre 2.
Mga pangunahing pagbabago sa Chrome 142:
- Pinagana ang proteksyon sa pag-access ng lokal na sistema kapag nakikipag-ugnayan sa mga pampublikong website. Kapag nag-a-access ng website sa isang pampubliko o panloob na network (intranet), Mga IP address Kapag ina-access ang local system o loopback interface (127.0.0.0/8), magpapakita ang browser ng dialog box sa user na humihiling ng kumpirmasyon. Sakop ang mga pagtatangkang mag-download ng mga resource, mga kahilingan sa fetch(), at mga pagsingit ng iframe. Sa kasalukuyan, hindi pa inilalapat ang proteksyon sa mga koneksyon sa pamamagitan ng WebSockets, WebTransport, at WebRTC, ngunit idadagdag ito para sa mga teknolohiyang ito sa ibang pagkakataon.
Sinasamantala ng mga attacker ang panloob na pag-access sa mapagkukunan upang magsagawa ng mga pag-atake ng CSRF sa mga router, access point, printer, corporate web interface, at iba pang mga device at serbisyo na tumatanggap lamang ng mga kahilingan mula sa lokal na network. Higit pa rito, ang pag-scan ng mga panloob na mapagkukunan ay maaaring gamitin para sa hindi direktang pagkakakilanlan o upang mangalap ng impormasyon tungkol sa lokal na network.
- Ang isang solong, pinasimple na interface ay ipinakilala para sa pag-link sa isang Google account at pag-sync ng data, tulad ng mga naka-save na password at mga bookmark. Ang pag-sync ay isinama sa pag-sign-in ng account at hindi ipinakita bilang isang hiwalay na opsyon sa mga setting. Maaaring ikonekta ng mga user ang Chrome sa kanilang Google account at gamitin ito upang mag-imbak ng mga password, bookmark, kasaysayan ng pagba-browse, at mga tab. Kasalukuyang aktibo ang feature na ito para sa ilang user, at unti-unting palalawakin.
- Isang bagong modelo ng paghihiwalay ng proseso ang ginagamit - "Paghihiwalay ng Pinagmulan", kung saan ang bawat pinagmumulan ng nilalaman (pinagmulan - isang bundle mula sa protocol, domain at ang port, halimbawa, "https://foo.example.com"), ay nakahiwalay sa isang hiwalay na proseso ng pag-render. Dahil ang pagtaas ng granularity ng isolation ay maaaring humantong sa pagtaas ng pagkonsumo ng memorya at CPU load, ang bagong isolation mode ay pinapagana lamang sa mga system na may higit sa 4 GB ng RAM. Sa low-power hardware, ang lumang paraan ng isolation ay patuloy na gagamitin, na naghihiwalay sa lahat ng iba't ibang pinagmumulan ng nilalaman na nauugnay sa isang site (halimbawa, foo.example.com at bar.example.com) sa isang hiwalay na proseso.
- Sa mga sistemang may Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Sa bersyon para sa Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Kasama sa pagpapatupad ng DTLS (Datagram Transport Layer Security, isang TLS analog para sa UDP) na protocol na ginagamit para sa mga koneksyon sa WebRTC ang paggamit ng mga post-quantum encryption algorithm.
- Ang status ng activation, na itinakda sa panahon ng aktibidad ng user sa isang page, ay pinapanatili na ngayon pagkatapos mag-navigate sa isa pang page sa parehong domain. Ang pagpapanatili ng activation ay magpapasimple sa pagbuo ng mga multi-page na web application at malulutas ang mga problema gaya ng pagtatakda ng input focus kapag ipinakita ng site ang virtual na keyboard nito.
- Ang CSS pseudo-classes na ":target-before" at ":target-after" ay idinagdag upang tukuyin ang nakaraan at susunod na mga marker na nauugnay sa kasalukuyang posisyon ng scroll (":target-current").
- Sinusuportahan na ngayon ng mga style container (@container) at ang if() function ang Range Syntax na tinukoy sa detalye ng Media Query Level 4, na nagbibigay-daan sa paggamit ng mga karaniwang mathematical na paghahambing na operator at lohikal na operator upang tukuyin ang mga hanay ng mga halaga. Halimbawa, maaari mo na ngayong tukuyin ang "@container style(—inner-padding > 1em)" at "background-color: if(style(attr(data-columns, type ) > 2): mapusyaw na asul; iba: puti);"
- Sinusuportahan na ngayon ng mga elementong " " at " " ang attribute na "interestfor". Maaaring gamitin ang attribute na ito para mag-trigger ng mga aksyon, gaya ng pagpapakita ng popup, kapag nagpakita ng interes ang user sa elemento. Kinikilala ng browser ang mga kaganapan tulad ng pag-hover at paghawak sa pointer sa ibabaw ng elemento, pagpindot sa mga hotkey, o pagpindot sa touchscreen bilang mga indicator ng interes. Kapag natukoy ang isang elementong may attribute na "interestfor", bubuo ang browser ng InterestEvent.
- Ang mga pagpapabuti ay ginawa sa mga tool sa web developer. Ang isang mabilis na pindutan ng paglunsad para sa AI assistant ay naidagdag sa kanang sulok sa itaas. Ang item sa menu ng konteksto na "Magtanong sa AI" ay pinalitan ng pangalan sa "Pag-debug gamit ang AI" at pinalawak upang isama ang kakayahang magsagawa ng mga agarang aksyon depende sa konteksto. Sa web console at code panel, ang Gemini AI assistant ay maaari na ngayong bumuo ng mga rekomendasyon gamit ang code.
Ang mga tool sa web developer ay isinasama na ngayon sa Google Developer Program (GDP). Maa-access na ngayon ng mga developer ang kanilang GDP profile nang direkta mula sa Chrome DevTools at makakuha ng mga reward para sa pagkumpleto ng mga partikular na gawain sa loob ng interface na ito.
Bilang karagdagan sa mga bagong feature at pag-aayos ng bug, tinutugunan ng bagong bersyon ang 20 mga kahinaan. Marami sa mga kahinaan ang natukoy sa pamamagitan ng awtomatikong pagsubok gamit ang AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, at AFL. Walang mga kritikal na isyu na maaaring magbigay-daan para sa pag-bypass sa lahat ng mga layer ng proteksyon ng browser at pag-execute ng code sa labas ng sandbox environment ang natukoy. Bilang bahagi ng vulnerability bounty program para sa kasalukuyang release, ang Google ay nagtatag ng 20 bounty na may kabuuang $130,000 (dalawang $50,000 na bounty, isang $10000 na bounty, tatlong $3000 na bounty, dalawang $2000 na bounty, at tatlong $1000 na bounty). Ang halaga ng walong mga pabuya ay hindi pa natutukoy.
Bukod pa rito, natukoy ang hindi na-patch na kahinaan sa Blink engine, na nagiging sanhi ng pag-crash at pag-freeze ng browser kapag nagpapatupad ng ilang partikular na JavaScript code. Ang kahinaan ay sanhi ng mga isyu sa arkitektura sa rendering engine na nauugnay sa kakulangan ng limitasyon sa rate sa pag-update ng property na "document.title." Ang kakulangan ng limitasyong ito ay nagbibigay-daan sa "document.title" na magamit upang gumawa ng sampu-sampung milyong pagbabago sa DOM bawat segundo. Nagiging sanhi ito ng pag-freeze ng interface sa loob ng ilang segundo dahil sa na-block ang pangunahing thread at makabuluhang pagkonsumo ng memorya. Pagkatapos ng 15-60 segundo, nag-crash ang browser.
Pinagmulan: opennet.ru
