Prohoster > Blog > tin tức mạng > Bản phát hành Chrome 102

Bản phát hành Chrome 102

Google đã tiết lộ việc phát hành trình duyệt web Chrome 102. Đồng thời, đã có sẵn bản phát hành ổn định của dự án Chrome miễn phí, đóng vai trò là nền tảng của Chrome. Trình duyệt Chrome khác với Chrome ở chỗ sử dụng logo Google, sự hiện diện của hệ thống gửi thông báo trong trường hợp gặp sự cố, mô-đun phát nội dung video được bảo vệ bản sao (DRM), hệ thống tự động cài đặt các bản cập nhật, bật vĩnh viễn cách ly Sandbox , cung cấp khóa cho Google API và truyền RLZ- khi tìm kiếm thông số. Đối với những người cần thêm thời gian để cập nhật, nhánh Extended Stable được hỗ trợ riêng, sau đó là 8 tuần. Bản phát hành tiếp theo của Chrome 103 được lên lịch vào ngày 21 tháng XNUMX.

Những thay đổi chính trong Chrome 102:

  • Để ngăn chặn việc khai thác các lỗ hổng do truy cập vào các khối bộ nhớ đã được giải phóng (use-after-free), thay vì các con trỏ thông thường, loại MiraclePtr (raw_ptr) bắt đầu được sử dụng. MiraclePtr cung cấp một liên kết trên các con trỏ để thực hiện kiểm tra bổ sung đối với quyền truy cập vào các vùng bộ nhớ được giải phóng và gặp sự cố nếu phát hiện các truy cập đó. Tác động của phương pháp bảo vệ mới đến hiệu suất và mức tiêu thụ bộ nhớ được đánh giá là không đáng kể. Cơ chế MiraclePtr không thể áp dụng được trong tất cả các quy trình, đặc biệt là nó không được sử dụng trong các quy trình kết xuất nhưng nó có thể cải thiện đáng kể tính bảo mật. Ví dụ: trong bản phát hành hiện tại, trong số 32 lỗ hổng đã được sửa, 12 lỗ hổng là do sự cố sử dụng sau khi sử dụng miễn phí.
  • Thiết kế giao diện với thông tin tải xuống đã được thay đổi. Thay vì dòng dưới cùng với dữ liệu về tiến trình tải xuống, một chỉ báo mới đã được thêm vào bảng điều khiển bằng thanh địa chỉ, khi bạn nhấp vào nó, tiến trình tải xuống tệp và lịch sử với danh sách các tệp đã tải xuống sẽ được hiển thị. Không giống như bảng dưới cùng, nút này liên tục hiển thị trên bảng và cho phép bạn truy cập nhanh vào lịch sử tải xuống của mình. Giao diện mới hiện chỉ được cung cấp theo mặc định cho một số người dùng và sẽ được mở rộng cho tất cả nếu không có vấn đề gì. Để quay lại giao diện cũ hoặc bật giao diện mới, cài đặt “chrome://flags#download-bubble” được cung cấp.
    Bản phát hành Chrome 102
  • Khi tìm kiếm hình ảnh thông qua menu ngữ cảnh (“Tìm kiếm hình ảnh bằng Google Lens” hoặc “Tìm qua Google Lens”), kết quả hiện không được hiển thị trên một trang riêng mà ở thanh bên cạnh nội dung của trang gốc (trong một cửa sổ, bạn có thể xem đồng thời cả nội dung trang và kết quả truy cập vào công cụ tìm kiếm).
    Bản phát hành Chrome 102
  • Trong phần "Quyền riêng tư và bảo mật" của cài đặt, phần "Hướng dẫn về quyền riêng tư" đã được thêm vào, phần này cung cấp tổng quan chung về các cài đặt chính ảnh hưởng đến quyền riêng tư cùng với giải thích chi tiết về tác động của từng cài đặt. Ví dụ: trong phần bạn có thể xác định chính sách gửi dữ liệu đến các dịch vụ của Google, quản lý đồng bộ hóa, xử lý Cookie và lưu lịch sử. Chức năng này được cung cấp cho một số người dùng; để kích hoạt nó, bạn có thể sử dụng cài đặt “chrome://flags#privacy-guide”.
    Bản phát hành Chrome 102
  • Cấu trúc lịch sử tìm kiếm và các trang đã xem được cung cấp. Khi bạn cố gắng tìm kiếm lại, gợi ý “Tiếp tục hành trình của bạn” sẽ hiển thị trên thanh địa chỉ, cho phép bạn tiếp tục tìm kiếm từ nơi bị gián đoạn lần trước.
    Bản phát hành Chrome 102
  • Cửa hàng Chrome trực tuyến cung cấp trang "Bộ khởi động tiện ích mở rộng" với lựa chọn ban đầu về các tiện ích bổ sung được đề xuất.
  • Ở chế độ thử nghiệm, việc gửi yêu cầu ủy quyền CORS (Chia sẻ tài nguyên nguồn gốc chéo) đến máy chủ trang web chính với tiêu đề “Kiểm soát truy cập-Yêu cầu-Mạng riêng tư: true” được bật khi trang truy cập tài nguyên trên mạng nội bộ ( 192.168.xx , 10.xxx, 172.16.xx) hoặc tới localhost (128.xxx). Khi xác nhận hoạt động đáp ứng yêu cầu này, máy chủ phải trả về tiêu đề “Access-Control-Allow-Private-Network: true”. Trong Chrome phiên bản 102, kết quả xác nhận chưa ảnh hưởng đến việc xử lý yêu cầu - nếu không có xác nhận, cảnh báo sẽ hiển thị trong bảng điều khiển web nhưng bản thân yêu cầu nguồn phụ không bị chặn. Dự kiến ​​sẽ không bật tính năng chặn khi không có xác nhận từ máy chủ cho đến khi Chrome 105 được phát hành. Để bật tính năng chặn trong các bản phát hành trước đó, bạn có thể bật cài đặt "chrome://flags/#private-network-access-spect-preflight- kết quả".

    Việc xác minh quyền của máy chủ đã được giới thiệu để tăng cường bảo vệ chống lại các cuộc tấn công liên quan đến việc truy cập tài nguyên trên mạng cục bộ hoặc trên máy tính của người dùng (localhost) khỏi các tập lệnh được tải khi mở một trang web. Những yêu cầu như vậy được kẻ tấn công sử dụng để thực hiện các cuộc tấn công CSRF trên bộ định tuyến, điểm truy cập, máy in, giao diện web công ty cũng như các thiết bị và dịch vụ khác chỉ chấp nhận yêu cầu từ mạng cục bộ. Để bảo vệ khỏi các cuộc tấn công như vậy, nếu bất kỳ tài nguyên phụ nào được truy cập trên mạng nội bộ, trình duyệt sẽ gửi yêu cầu rõ ràng về quyền tải các tài nguyên phụ này.

  • Khi mở liên kết ở chế độ ẩn danh thông qua menu ngữ cảnh, một số thông số ảnh hưởng đến quyền riêng tư sẽ tự động bị xóa khỏi URL.
  • Chiến lược phân phối bản cập nhật cho Windows và Android đã được thay đổi. Để so sánh đầy đủ hơn hoạt động của bản phát hành mới và cũ, nhiều bản dựng của phiên bản mới hiện được tạo để tải xuống.
  • Công nghệ phân đoạn mạng đã được ổn định để bảo vệ chống lại các phương pháp theo dõi chuyển động của người dùng giữa các trang web dựa trên việc lưu trữ số nhận dạng trong các khu vực không dành cho việc lưu trữ thông tin vĩnh viễn (“Siêu cookie”). Bởi vì các tài nguyên được lưu trong bộ nhớ đệm được lưu trữ trong một không gian tên chung, bất kể miền gốc là gì, một trang web có thể xác định rằng một trang khác đang tải tài nguyên bằng cách kiểm tra xem tài nguyên đó có trong bộ nhớ đệm hay không. Việc bảo vệ dựa trên việc sử dụng phân đoạn mạng (Phân vùng mạng), bản chất của nó là thêm vào bộ đệm chia sẻ ràng buộc bổ sung của các bản ghi với miền mà trang chính được mở, điều này giới hạn phạm vi bộ đệm chỉ dành cho các tập lệnh theo dõi chuyển động đến trang hiện tại (tập lệnh từ iframe sẽ không thể kiểm tra xem tài nguyên có được tải xuống từ trang khác hay không). Chia sẻ trạng thái bao gồm các kết nối mạng (HTTP/1, HTTP/2, HTTP/3, websocket), bộ đệm DNS, dữ liệu ALPN/HTTP2, TLS/HTTP3, cấu hình, nội dung tải xuống và thông tin tiêu đề Expect-CT.
  • Đối với các ứng dụng web độc lập đã cài đặt (PWA, Progressive Web App), có thể thay đổi thiết kế vùng tiêu đề cửa sổ bằng cách sử dụng các thành phần Window Controls Overlay, giúp mở rộng vùng màn hình của ứng dụng web ra toàn bộ cửa sổ. Một ứng dụng web có thể kiểm soát việc hiển thị và xử lý đầu vào của toàn bộ cửa sổ, ngoại trừ khối lớp phủ với các nút điều khiển cửa sổ tiêu chuẩn (đóng, thu nhỏ, phóng to), để mang lại cho ứng dụng web diện mạo của một ứng dụng máy tính để bàn thông thường.
    Bản phát hành Chrome 102
  • Trong hệ thống tự động điền biểu mẫu, hỗ trợ đã được thêm vào để tạo số thẻ tín dụng ảo trong các trường có chi tiết thanh toán cho hàng hóa trong cửa hàng trực tuyến. Việc sử dụng thẻ ảo, số lượng thẻ được tạo cho mỗi lần thanh toán, cho phép bạn không chuyển dữ liệu về thẻ tín dụng thật mà yêu cầu ngân hàng cung cấp dịch vụ cần thiết. Tính năng này hiện chỉ khả dụng cho khách hàng của ngân hàng Hoa Kỳ. Để kiểm soát việc đưa chức năng này vào, cài đặt “chrome://flags/#autofill-enable-virtual-card” được đề xuất.
  • Cơ chế “Capture Handle” được kích hoạt theo mặc định, cho phép bạn truyền thông tin đến các ứng dụng quay video. API cho phép tổ chức tương tác giữa các ứng dụng có nội dung được ghi lại và các ứng dụng thực hiện việc ghi lại. Ví dụ: một ứng dụng hội nghị truyền hình đang quay video để phát bản trình bày có thể truy xuất thông tin về các điều khiển bản trình bày và hiển thị chúng trong cửa sổ video.
  • Hỗ trợ các quy tắc suy đoán được bật theo mặc định, cung cấp cú pháp linh hoạt để xác định liệu dữ liệu liên quan đến liên kết có thể được tải chủ động hay không trước khi người dùng nhấp vào liên kết.
  • Cơ chế đóng gói tài nguyên thành các gói ở định dạng Web Bundle đã được ổn định, cho phép tăng hiệu quả tải một số lượng lớn tệp đi kèm (kiểu CSS, JavaScript, hình ảnh, iframe). Không giống như các gói ở định dạng Webpack, định dạng Web Bundle có những ưu điểm sau: không phải bản thân gói được lưu trữ trong bộ đệm HTTP mà là các bộ phận cấu thành của nó; quá trình biên dịch và thực thi JavaScript bắt đầu mà không cần đợi gói được tải xuống đầy đủ; Nó được phép bao gồm các tài nguyên bổ sung như CSS và hình ảnh, trong webpack sẽ phải được mã hóa dưới dạng chuỗi JavaScript.
  • Có thể định nghĩa ứng dụng PWA là trình xử lý các loại MIME và phần mở rộng tệp nhất định. Sau khi xác định ràng buộc thông qua trường file_handlers trong tệp kê khai, ứng dụng sẽ nhận được một sự kiện đặc biệt khi người dùng cố gắng mở tệp được liên kết với ứng dụng.
  • Đã thêm thuộc tính trơ mới cho phép bạn đánh dấu một phần của cây DOM là "không hoạt động". Đối với các nút DOM ở trạng thái này, trình xử lý lựa chọn văn bản và di chuột con trỏ bị tắt, tức là. Các sự kiện con trỏ và thuộc tính CSS do người dùng chọn luôn được đặt thành 'không'. Nếu một nút có thể được chỉnh sửa thì ở chế độ trơ, nó sẽ không thể chỉnh sửa được.
  • Đã thêm API Điều hướng, cho phép các ứng dụng web chặn các hoạt động điều hướng của cửa sổ, bắt đầu điều hướng và phân tích lịch sử hành động với ứng dụng. API cung cấp một giải pháp thay thế cho các thuộc tính window.history và window.location, được tối ưu hóa cho các ứng dụng web một trang.
  • Một cờ mới, "cho đến khi tìm thấy", đã được đề xuất cho thuộc tính "ẩn", giúp phần tử có thể tìm kiếm được trên trang và có thể cuộn bằng mặt nạ văn bản. Ví dụ: bạn có thể thêm văn bản ẩn vào một trang, nội dung của văn bản đó sẽ được tìm thấy trong các tìm kiếm địa phương.
  • Trong API WebHID, được thiết kế để truy cập cấp thấp vào các thiết bị HID (thiết bị giao diện con người, bàn phím, chuột, gamepad, bàn di chuột) và tổ chức công việc mà không có sự hiện diện của trình điều khiển cụ thể trong hệ thống, thuộc tính loại trừFilters đã được thêm vào requestDevice( ), cho phép bạn loại trừ một số thiết bị nhất định khi trình duyệt hiển thị danh sách các thiết bị có sẵn. Ví dụ: bạn có thể loại trừ những ID thiết bị có vấn đề đã biết.
  • Nghiêm cấm hiển thị biểu mẫu thanh toán thông qua lệnh gọi tới PaymentRequest.show() mà không có hành động rõ ràng của người dùng, chẳng hạn như nhấp vào một phần tử được liên kết với trình xử lý.
  • Hỗ trợ triển khai thay thế giao thức SDP (Giao thức mô tả phiên) được sử dụng để thiết lập phiên trong WebRTC đã bị ngừng. Chrome cung cấp hai tùy chọn SDP - hợp nhất với các trình duyệt khác và dành riêng cho Chrome. Từ giờ trở đi, chỉ còn lại tùy chọn di động.
  • Những cải tiến đã được thực hiện đối với các công cụ dành cho nhà phát triển web. Đã thêm các nút vào bảng Kiểu để mô phỏng việc sử dụng chủ đề tối và sáng. Việc bảo vệ tab Xem trước trong chế độ kiểm tra mạng đã được tăng cường (ứng dụng Chính sách bảo mật nội dung được bật). Trình gỡ lỗi triển khai việc chấm dứt tập lệnh để tải lại các điểm dừng. Việc triển khai sơ bộ bảng “Thông tin chi tiết về hiệu suất” mới đã được đề xuất, cho phép bạn phân tích hiệu suất của một số hoạt động nhất định trên trang.
    Bản phát hành Chrome 102

Ngoài những cải tiến và sửa lỗi, phiên bản mới còn loại bỏ 32 lỗ hổng. Nhiều lỗ hổng được xác định là kết quả của quá trình kiểm tra tự động bằng cách sử dụng các công cụ addressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer và AFL. Một trong những vấn đề (CVE-2022-1853) đã được xác định ở mức độ nguy hiểm nghiêm trọng, ngụ ý khả năng vượt qua tất cả các cấp độ bảo vệ trình duyệt và thực thi mã trên hệ thống bên ngoài môi trường hộp cát. Thông tin chi tiết về lỗ hổng này vẫn chưa được tiết lộ; người ta chỉ biết rằng nguyên nhân là do truy cập vào khối bộ nhớ được giải phóng (use-after-free) trong quá trình triển khai API DB được lập chỉ mục.

Là một phần của chương trình thưởng tiền mặt cho việc phát hiện các lỗ hổng cho bản phát hành hiện tại, Google đã trả 24 giải thưởng trị giá 65600 USD (một giải thưởng 10000 USD, một giải thưởng 7500 USD, hai giải thưởng 7000 USD, ba giải thưởng 5000 USD, bốn giải thưởng 3000 USD, hai giải thưởng 2000 USD, hai giải thưởng 1000 USD và hai giải thưởng 500 USD). tiền thưởng 7 USD). Quy mô của XNUMX phần thưởng vẫn chưa được xác định.

Nguồn: opennet.ru

Thêm một lời nhận xét