主持人 > 博客 > 网络新闻 > Chrome 102 发布

Chrome 102 发布

谷歌发布了Chrome 102网络浏览器,同时作为Chrome基础的免费Chromium项目也发布了稳定版本。 Chrome 浏览器与 Chromium 的不同之处在于使用 Google 徽标、存在崩溃时发送通知的系统、播放受版权保护的视频内容 (DRM) 的模块、自动安装更新的系统、永久启用沙盒隔离,向 Google API 提供密钥并在搜索时传输 RLZ- 参数。 对于那些需要更多时间更新的人,单独支持 Extended Stable 分支,随后是 8 周。 Chrome 103 的下一个版本计划于 21 月 XNUMX 日发布。

Chrome 102 的主要变化:

  • 为了阻止由于访问已释放的内存块(释放后使用)而导致的漏洞利用,开始使用 MiraclePtr (raw_ptr) 类型来代替普通指针。 MiraclePtr 提供了对指针的绑定,该指针对对已释放内存区域的访问执行额外的检查,如果检测到此类访问,则会崩溃。 新的保护方法对性能和内存消耗的影响被评估为可以忽略不计。 MiraclePtr机制并不适用于所有进程,特别是不用于渲染进程,但它可以显着提高安全性。 例如,在当前版本中,修复了 32 个漏洞,其中 12 个是由释放后使用问题引起的。
  • 包含下载信息的界面设计已更改。 带有地址栏的面板中添加了一个新的指示器,而不是显示下载进度数据的底行;当您单击它时,会显示下载文件的进度以及包含已下载文件列表的历史记录。 与底部面板不同,该按钮始终显示在面板上,允许您快速访问下载历史记录。 目前,新界面默认仅向部分用户提供,如果没有问题,将扩展到所有用户。 要返回旧界面或启用新界面,提供了“chrome://flags#download-bubble”设置。
    Chrome 102 发布
  • 通过上下文菜单(“使用 Google Lens 搜索图像”或“通过 Google Lens 查找”)搜索图像时,结果现在不会显示在单独的页面上,而是显示在原始页面内容旁边的侧边栏中(在在一个窗口中您可以同时看到页面内容和访问搜索引擎的结果)。
    Chrome 102 发布
  • 在设置的“隐私和安全”部分中,添加了“隐私指南”部分,其中概述了影响隐私的主要设置,并详细说明了每个设置的影响。 例如,在该部分中,您可以定义向 Google 服务发送数据的策略、管理同步、Cookie 处理和历史记录保存。 该功能向某些用户提供;要激活它,您可以使用“chrome://flags#privacy-guide”设置。
    Chrome 102 发布
  • 提供搜索历史和查看的页面的结构。 当您再次尝试搜索时,地址栏中会显示“继续您的旅程”的提示,让您可以从上次中断的地方继续搜索。
    Chrome 102 发布
  • Chrome 网上应用店提供了一个“扩展入门工具包”页面,其中包含推荐的附加组件的初始选择。
  • 在测试模式下,当页面访问内网资源( 192.168.xx、10.xxx、172.16.xx)或本地主机(128.xxx)。 当确认响应该请求的操作时,服务器必须返回“Access-Control-Allow-Private-Network: true”标头。 在 Chrome 版本 102 中,确认结果尚未影响请求的处理 - 如果没有确认,则会在 Web 控制台中显示警告,但子资源请求本身不会被阻止。 在 Chrome 105 发布之前,预计不会在没有服务器确认的情况下启用阻止。要在早期版本中启用阻止,您可以启用设置“chrome://flags/#private-network-access-respect-preflight-结果”。

    引入服务器权限验证是为了加强对与通过打开站点时加载的脚本访问本地网络或用户计算机 (localhost) 上的资源相关的攻击的防护。 攻击者利用此类请求对路由器、接入点、打印机、企业 Web 界面以及仅接受来自本地网络的请求的其他设备和服务进行 CSRF 攻击。 为了防止此类攻击,如果在内网访问任何子资源,浏览器将发送显式请求,请求加载这些子资源的权限。

  • 通过上下文菜单以隐身模式打开链接时,一些影响隐私的参数会自动从 URL 中删除。
  • Windows 和 Android 的更新交付策略已更改。 为了更全面地比较新旧版本的行为,现在会生成新版本的多个构建版本以供下载。
  • 网络分段技术已经稳定,可以防止基于在非永久存储信息的区域中存储标识符(“Supercookies”)来跟踪站点之间的用户移动的方法。 由于缓存的资源存储在公共命名空间中,因此无论原始域如何,一个站点都可以通过检查该资源是否在缓存中来确定另一个站点正在加载资源。 这种保护基于网络分段(网络分区)的使用,其本质是在共享缓存中添加额外的记录与打开主页的域的绑定,这限制了仅针对移动跟踪脚本的缓存覆盖范围到当前站点(iframe 中的脚本将无法检查资源是否是从其他站点下载的)。 状态共享涵盖网络连接(HTTP/1、HTTP/2、HTTP/3、websocket)、DNS 缓存、ALPN/HTTP2、TLS/HTTP3 数据、配置、下载和 Expect-CT 标头信息。
  • 对于已安装的独立 Web 应用程序(PWA、渐进式 Web 应用程序),可以使用 Window Controls Overlay 组件更改窗口标题区域的设计,该组件将 Web 应用程序的屏幕区域扩展到整个窗口。 Web 应用程序可以控制整个窗口的渲染和输入处理,除了具有标准窗口控制按钮(关闭、最小化、最大化)的覆盖块之外,以使 Web 应用程序具有常规桌面应用程序的外观。
    Chrome 102 发布
  • 在表单自动填充系统中,添加了对在包含在线商店商品付款详细信息的字段中生成虚拟信用卡号的支持。 使用虚拟卡(每次付款都会生成虚拟卡的数量)使您无需传输真实信用卡的数据,但需要银行提供必要的服务。 该功能目前仅适用于美国银行客户。 为了控制该功能的包含,建议使用“chrome://flags/#autofill-enable-virtual-card”设置。
  • 默认情况下,“捕获句柄”机制处于激活状态,允许您将信息传输到捕获视频的应用程序。 API 使得组织其内容被记录的应用程序和执行记录的应用程序之间的交互成为可能。 例如,捕获视频以广播演示的视频会议应用程序可以检索有关演示控件的信息并将其显示在视频窗口中。
  • 默认情况下启用对推测规则的支持,提供灵活的语法来确定是否可以在用户单击链接之前主动加载链接相关数据。
  • 以 Web Bundle 格式将资源打包成包的机制已经稳定,可以提高加载大量附带文件(CSS 样式、JavaScript、图像、iframe)的效率。 与Webpack格式的包不同,Web Bundle格式具有以下优点:HTTP缓存中存储的不是包本身,而是其组成部分; JavaScript 的编译和执行无需等待包完全下载即可开始; 允许包含额外的资源,例如 CSS 和图像,这些资源在 webpack 中必须以 JavaScript 字符串的形式进行编码。
  • 可以将 PWA 应用程序定义为某些 MIME 类型和文件扩展名的处理程序。 通过清单中的 file_handlers 字段定义绑定后,当用户尝试打开与应用程序关联的文件时,应用程序将收到一个特殊事件。
  • 添加了一个新的 inert 属性,允许您将 DOM 树的一部分标记为“非活动”。 对于处于这种状态的 DOM 节点,文本选择和指针悬停处理程序被禁用,即指针事件和用户选择 CSS 属性始终设置为“none”。 如果一个节点可以编辑,那么在惰性模式下它就变得不可编辑。
  • 添加了导航 API,它允许 Web 应用程序拦截窗口导航操作、启动导航并分析应用程序的操作历史记录。 该 API 提供了 window.history 和 window.location 属性的替代方案,针对单页 Web 应用程序进行了优化。
  • 已为“隐藏”属性提出了一个新标志“until-found”,这使得元素可在页面上搜索并可通过文本掩码滚动。 例如,您可以将隐藏文本添加到页面,其内容将在本地搜索中找到。
  • 在 WebHID API 中,专为对 HID 设备(人机接口设备、键盘、鼠标、游戏板、触摸板)进行低级访问并在系统中不存在特定驱动程序的情况下组织工作而设计,exclusionFilters 属性已添加到 requestDevice( ) 对象,它允许您在浏览器显示可用设备列表时排除某些设备。 例如,您可以排除存在已知问题的设备 ID。
  • 禁止在没有显式用户操作(例如单击与处理程序关联的元素)的情况下通过调用 PaymentRequest.show() 显示付款表单。
  • 已停止支持用于在 WebRTC 中建立会话的 SDP(会话描述协议)协议的替代实现。 Chrome 提供了两种 SDP 选项 - 与其他浏览器统一和 Chrome 特定。 从现在开始,只剩下便携式选项了。
  • Web 开发人员的工具已得到改进。 在“样式”面板中添加了按钮来模拟深色和浅色主题的使用。 加强了网络检查模式下预览选项卡的保护(启用了内容安全策略的应用)。 调试器实现脚本终止以重新加载断点。 已提议初步实施新的“性能洞察”面板,该面板允许您分析页面上某些操作的性能。
    Chrome 102 发布

除了创新和错误修复之外,新版本还消除了 32 个漏洞。 许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。 其中一个问题 (CVE-2022-1853) 已被指定为严重危险级别,这意味着能够绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。 有关此漏洞的详细信息尚未公开;只知道它是由访问 Indexed DB API 实现中已释放的内存块(释放后使用)引起的。

作为发现当前版本漏洞的现金奖励计划的一部分,Google 支付了 24 项价值 65600 美元的奖励(一项 10000 美元奖励、一项 7500 美元奖励、两项 7000 美元奖励、三项 5000 美元奖励、四项 3000 美元奖励、两项 2000 美元奖励、两项 1000 美元奖励和两项500 美元奖金)。 7 项奖励的金额尚未确定。

来源: opennet.ru

添加评论