Chrome 131 网络浏览器发布

谷歌发布了Chrome 131网络浏览器版本，同时作为Chrome基础的免费Chromium项目也发布了稳定版本。 Chrome 浏览器与 Chromium 的不同之处在于使用 Google 徽标、存在崩溃时发送通知的系统、播放受版权保护的视频内容 (DRM) 的模块、自动安装更新的系统、永久启用沙盒隔离，向 Google API 提供密钥并在搜索时传输 RLZ- 参数。 对于那些需要更多时间更新的人，单独支持 Extended Stable 分支，随后是 8 周。 Chrome 132 的下一个版本计划于 14 月 XNUMX 日发布。

Chrome 131 的主要变化：

• 内置 PDF 查看器扩展了识别扫描 PDF 文档中文本的能力，其中文本作为图像放置。使用基于机器学习的内置光学字符识别 (OCR) 引擎在本地系统上识别文本。与以前的版本不同，扫描的文档现在会自动转换为文本表示形式，可以突出显示、搜索并将其复制到剪贴板。
• 引入了在 PartitionAlloc 内存分配系统中启用扩展检查的功能，该功能允许您阻止因访问已释放的内存区域（释放后使用）而导致的漏洞。默认情况下，由于可能对性能产生负面影响，这些检查被禁用。然而，对于安全性比性能更重要的部署，现在提供单独的企业策略来实现额外的保护。
• 由于 Entrust CA 多次违反 CA 要求、未在规定时间内对问题证书作出回应、证书吊销延迟、事件报告不当以及未能遵守颁发指南，Chrome Root Store 已取消对其的信任。 TLS证书 EV（扩展验证）级别的证书需要验证域名所有权文件并确认资源所有权。由于未能采取措施解决已发现的缺陷，Chrome 浏览器将 Entrust 在 2024 年 11 月 11 日之后颁发的 TLS 证书视为不受信任。11 月 11 日之前颁发的证书仍然有效。
• Android 版本包括连接第三方提供商以自动填写表单和保存密码的功能，该功能与 Accessibility API 无关。
• Android 版本简化了与 Google 帐户的连接以及管理不同浏览器之间的数据同步。同步不再作为“设置”中的单独功能呈现，而是与 Google 帐户连接功能结合在一起，允许您使用密码和书签等信息并将其保存到您的 Google 帐户。
• 用户已经开始逐步激活节省能耗的新模式（Energy saver），其中消耗大量CPU资源但不输出声音且隐藏时间超过5分钟的选项卡将被自动冻结。仅与管理外部设备或进行视频和音频会议相关的选项卡例外（此类选项卡是根据对用于使用 USB、蓝牙、摄像头、输入设备和麦克风以及组织通信通道的 API 的访问来确定的使用 RTCDataChannel 或 MediaStreamTrack ）。要控制是否启用自动冻结，您可以使用“chrome://flags/#freezing-on-energy-saver”设置。
• 添加了实验性内存节省模式 - 中等、平衡和最大，允许您选择从非活动选项卡释放内存的方法。在“中等”模式下，仅当系统内存不足时，内存选项卡才会停用；在“最大”模式下，选项卡在变为不活动状态后不久就会停用；在“平衡”模式下，会在考虑可用内存的情况下停用不活动的选项卡。系统中的内存。
• 添加了其他与性能相关的设置，例如能够指定哪些站点始终保持活动状态（不会在后台减慢速度）、选择如何直观地指示停用的选项卡以及在弹出选项卡缩略图中显示内存消耗情况。
• 添加了“性能检测”工具，可识别正在查看的页面的潜在性能问题，并显示一条通知，其中包含一键解决问题的建议。例如，为了加快当前选项卡的速度，浏览器可能会主动停用消耗大量资源的其他选项卡。
• 在 TLS 1.3 和 QUIC 中，量子计算机上难以选择的密钥封装算法（KEM，Key Encapsulation Mechanism）“X25519Kyber768”已转移到使用由美国国家安全局标准化的最终规范 ML-KEM（CRYSTALS-Kyber）标准与技术研究所 (NIST)。 X25519Kyber768是X25519 ECDH和ML-KEM算法的结合，采用基于解决格理论问题的密码学方法，其求解时间在传统计算机和量子计算机上相同。
• 使用 Google Lens 服务的图像搜索功能添加了对另一种语言的叠加翻译的支持，可通过上下文菜单访问（翻译后的文本显示在图像中原始文本的顶部）。
• 添加了 Direct Sockets API，允许您与外部系统建立直接 TCP 和 UDP 连接，以及创建侦听套接字来接收连接。首次尝试连接到新主机时，系统会提示用户确认操作。添加新 API 的必要性是通过提供与使用在 TCP 和 UDP 之上运行的本机协议且不支持通过 HTTPS 或 WebSocket 进行通信的网络设备进行交互的能力来解释的。
• “Origin Trials”模式实现了 Summarizer API，用于使用大型语言模型来总结文本（本质的总结）。
• 在“Origin Trials”模式中，添加了 Playout Statistics API，它定义了 AudioContext.playoutStats 接口，用于通过 WebAudio API 获取有关音频播放的质量和延迟的统计信息。
• 为了防止滥用，当站点使用键盘锁定和指针锁定 API 时，添加了一条确认消息，这些 API 提供了对键盘和鼠标的额外控制（例如，您可以隐藏标准鼠标指针并提供您自己的鼠标处理）移动）。您可以通过权限API查看权限的授予状态。
• 允许在 HTML 元素中指定附加标签“ “，除了标准标签” “，” “ 和 ” ”进行此更改是为了准备在自定义选项的未来版本中实施“ ”，拓展了菜单设计的可能性。
• 添加了对 CSS 属性“clip-path”、“fill”、“lines”和“marker-*”指定外部 SVG 资源的支持。例如，您现在可以指定“clip-path: url("resources.svg#myPath")”。
• 通过伪类“::selection”和“::target-text”定义的文本选择样式属性的继承模型已更改，已引入伪类“::highlight”的继承模型、“::spelling-error”和“::grammar-error”，现在不再取决于文档结构（HTML 元素链），而是取决于文本如何突出显示（选择链）。在下面的示例中，段落中带有文本的嵌套元素的颜色“ " 现在将根据伪类 "::selection" 的样式进行选择，而不是根据为段落指定的颜色样式。 p { 颜色：深粉色； } .blue::selection { 颜色：蓝色； }这是强调的文本。
• 删除了阻止为 HTML 元素设置 CSS“显示”属性的限制“ “ 和 ” ” CSS 中添加了伪元素“::details-content”，以自定义可折叠和可展开块的设计。
• 添加CSS属性“font-variant-emoji”来自定义Emoji显示样式。例如，您可以选择文本或图形表示。
• @page CSS 规则旨在在打印或导出为 PDF 之前更改页面的设计，现在允许您定义在页边距中放置内容的区域，例如，添加您自己的标题、旁注或页脚。
• 用于控制锚定到其他元素位置的元素的显示（CSS 锚定位）的“inset-area”CSS 属性已被弃用。根据CSS标准化工作组的建议，“inset-area”属性已被完全相似的“position-area”属性取代。
• Web 开发人员工具的功能得到了扩展。性能面板中添加了新的性能分析功能。已经提出了一个带有 AI 助手的实验面板，在其中以聊天的形式，您可以获得调试过程中出现的答案，或者澄清与 CSS 相关的一些问题。
  

除了创新和错误修复之外，新版本还消除了 12 个漏洞。许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。其中一个问题已被指定为高严重性级别（用于使用 Blink 引擎中的扩展的代码中的问题）。目前还没有发现任何严重问题可以让人们绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。作为为当前版本发现漏洞提供金钱奖励计划的一部分，Google 支付了 8 个奖金，金额为 1 美元（其中一个奖金为 1000 美元）。 7 项奖励的金额尚未确定。

来源： opennet.ru