Google, Chrome web tarayıcısının 142. sürümünü yayınladı. Chrome'un temelini oluşturan açık kaynaklı Chromium projesinin kararlı sürümü de mevcut. Chrome, Google logoları, çökme bildirim sistemi, kopya korumalı video içeriği (DRM) oynatma modülleri, otomatik güncelleme kurulumu, sürekli açık korumalı alan izolasyonu, Google API anahtarlarının sağlanması ve arama sırasında RLZ parametrelerinin iletilmesi gibi özellikleriyle Chromium'dan farklı. Güncelleme için daha fazla zamana ihtiyaç duyanlar için sekiz hafta boyunca ayrı bir Genişletilmiş Kararlı sürüm (Extended Stable) destekleniyor. Bir sonraki sürüm olan Chrome 143, 2 Aralık'ta yayınlanacak.
Chrome 142'deki önemli değişiklikler:
- Herkese açık web siteleriyle etkileşimde bulunurken yerel sisteme erişime karşı koruma etkinleştirilmiştir. Herkese açık veya dahili bir ağdaki (intranet) bir web sitesine erişirken, IP adresim Yerel sisteme veya geri döngü arayüzüne (127.0.0.0/8) erişildiğinde, tarayıcı kullanıcıdan onay isteyen bir iletişim kutusu görüntüler. Kaynak indirme girişimleri, fetch() istekleri ve iframe eklemeleri kapsam dahilindedir. WebSockets, WebTransport ve WebRTC üzerinden yapılan bağlantılar için şu anda koruma uygulanmamaktadır, ancak bu teknolojiler için daha sonra eklenecektir.
Saldırganlar, yönlendiricilere, erişim noktalarına, yazıcılara, kurumsal web arayüzlerine ve yalnızca yerel ağdan gelen istekleri kabul eden diğer cihaz ve hizmetlere CSRF saldırıları gerçekleştirmek için dahili kaynak erişimini kullanır. Ayrıca, dahili kaynakların taranması, dolaylı tanımlama veya yerel ağ hakkında bilgi toplamak için de kullanılabilir.
- Google hesabına bağlanmak ve kayıtlı şifreler ve yer imleri gibi verileri senkronize etmek için tek ve basitleştirilmiş bir arayüz kullanıma sunuldu. Senkronizasyon, hesap oturum açma işlemiyle entegredir ve ayarlarda ayrı bir seçenek olarak sunulmaz. Kullanıcılar, Chrome'u Google hesaplarına bağlayabilir ve şifreleri, yer imlerini, tarama geçmişini ve sekmeleri depolamak için kullanabilirler. Bu özellik şu anda bazı kullanıcılar için etkindir ve kademeli olarak genişletilecektir.
- Yeni bir süreç izolasyon modeli kullanılıyor: "Kaynak İzolasyonu". Bu modelde her içerik kaynağı (kaynak - bir protokol bağlaması, domain Örneğin, "https://foo.example.com" gibi bir bağlantı noktası ayrı bir işleme sürecine alınır. İzolasyon hassasiyetinin artırılması bellek tüketimini ve CPU yükünü artırabileceğinden, yeni izolasyon modu yalnızca 4 GB'tan fazla RAM'e sahip sistemlerde etkinleştirilir. Düşük güçlü donanımlarda, tek bir siteyle (örneğin, foo.example.com ve bar.example.com) ilişkili tüm farklı içerik kaynaklarını ayrı bir işleme alan eski izolasyon yaklaşımı kullanılmaya devam edecektir.
- Sistemlerde Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- için versiyonda Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- WebRTC bağlantıları için kullanılan DTLS (Datagram Transport Layer Security, UDP için TLS benzeri) protokolünün uygulanması, kuantum sonrası şifreleme algoritmalarının kullanımını içerir.
- Kullanıcı bir sayfadaki etkinliği sırasında ayarlanan etkinleştirme durumu, artık aynı alan adındaki başka bir sayfaya gidildiğinde de korunuyor. Etkinleştirmenin korunması, çok sayfalı web uygulamalarının geliştirilmesini kolaylaştıracak ve site sanal klavyesini görüntülerken giriş odağının ayarlanması gibi sorunları çözecek.
- Önceki ve sonraki işaretçileri geçerli kaydırma konumuna (":target-current") göre tanımlamak için ":target-before" ve ":target-after" CSS sözde sınıfları eklendi.
- Stil kapsayıcıları (@container) ve if() işlevi artık Medya Sorguları Seviye 4 spesifikasyonunda tanımlanan Aralık Sözdizimini destekliyor. Bu sözdizimi, değer aralıklarını tanımlamak için standart matematiksel karşılaştırma operatörleri ve mantıksal operatörlerin kullanılmasına olanak tanıyor. Örneğin, artık "@container style(—inner-padding > 1em)" ve "background-color: if(style(attr(data-columns, type ) > 2): açık mavi; değilse: beyaz);"
- " " ve " " öğeleri artık "interestfor" özniteliğini destekliyor. Bu öznitelik, kullanıcı öğeye ilgi gösterdiğinde açılır pencere görüntüleme gibi eylemleri tetiklemek için kullanılabilir. Tarayıcı, işaretçiyi öğenin üzerine getirip tutma, kısayol tuşlarına basma veya dokunmatik ekranda bir dokunuşu basılı tutma gibi olayları ilgi göstergesi olarak algılar. "interestfor" özniteliğine sahip bir öğe belirlendiğinde, tarayıcı bir InterestEvent (İlgiOlası) oluşturur.
- Web geliştirici araçlarında iyileştirmeler yapıldı. Sağ üst köşeye yapay zeka asistanı için hızlı başlatma düğmesi eklendi. "Yapay zekaya sor" bağlam menüsü öğesinin adı "Yapay zeka ile hata ayıkla" olarak değiştirildi ve bağlama bağlı olarak anında eylem gerçekleştirme özelliğini içerecek şekilde genişletildi. Web konsolunda ve kod panelinde, Gemini yapay zeka asistanı artık kodla öneriler üretebiliyor.
Web geliştirici araçları artık Google Geliştirici Programı (GDP) ile entegre. Geliştiriciler artık GDP profillerine doğrudan Chrome DevTools üzerinden erişebilir ve bu arayüzde belirli görevleri tamamlayarak ödüller kazanabilirler.
Yeni özellikler ve hata düzeltmelerinin yanı sıra, yeni sürüm 20 güvenlik açığını da gideriyor. Güvenlik açıklarının çoğu, AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ve AFL kullanılarak yapılan otomatik testler sonucunda tespit edildi. Tarayıcı korumasının tüm katmanlarını atlayıp deneme ortamı dışında kod çalıştırmaya olanak sağlayabilecek kritik bir sorun tespit edilmedi. Mevcut sürüm için güvenlik açığı ödül programının bir parçası olarak Google, toplam 130.000 ABD doları tutarında 20 ödül belirledi (iki adet 50.000 ABD doları ödül, bir adet 10000 ABD doları ödül, üç adet 3000 ABD doları ödül, iki adet 2000 ABD doları ödül ve üç adet 1000 ABD doları ödül). Ödüllerden sekizinin miktarı henüz belirlenmedi.
Ayrıca, Blink motorunda, tarayıcının belirli JavaScript kodlarını çalıştırırken çökmesine ve donmasına neden olan, yamalanmamış bir güvenlik açığı tespit edildi. Bu güvenlik açığı, "document.title" özelliğinin güncellenmesinde hız sınırı olmamasıyla ilgili işleme motorundaki mimari sorunlardan kaynaklanmaktadır. Bu sınırlama eksikliği, "document.title" özelliğinin DOM'da saniyede on milyonlarca değişiklik yapmasına olanak tanır. Bu durum, ana iş parçacığının engellenmesi ve önemli miktarda bellek tüketimi nedeniyle arayüzün birkaç saniye içinde donmasına neden olur. 15-60 saniye sonra tarayıcı çöker.
Kaynak: opennet.ru
