Chrome 142 网络浏览器发布

谷歌发布了 Chrome 浏览器 142 版本。Chrome 的基础——开源 Chromium 项目的稳定版本也已发布。Chrome 与 Chromium 的区别在于：它使用了谷歌的徽标，配备了崩溃通知系统，支持播放受版权保护的视频内容（DRM），支持自动更新安装，始终开启沙盒隔离，提供谷歌 API 密钥，并在搜索过程中传递 RLZ 参数。对于需要更多时间更新的用户，谷歌维护了一个为期八周的扩展稳定版分支。下一个版本 Chrome 143 计划于 8 月 2 日发布。

Chrome 142 的主要变化：

• 已启用防止在与公共网站交互时访问本地系统的保护措施。当访问公共网络或内部网络（内网）上的网站时， IP地址 访问本地系统或回环接口 (127.0.0.0/8) 时，浏览器会显示一个对话框请求用户确认。此保护机制涵盖了资源下载尝试、fetch() 请求和 iframe 插入等操作。目前，WebSocket、WebTransport 和 WebRTC 连接暂不支持此保护机制，但未来会添加对这些技术的保护。

  攻击者利用内部资源访问权限，对路由器、接入点、打印机、企业Web界面以及其他仅接受本地网络请求的设备和服务发起CSRF攻击。此外，扫描内部资源还可用于间接识别身份或收集有关本地网络的信息。
• 我们推出了一个简化的单一界面，用于关联 Google 帐户并同步数据，例如已保存的密码和书签。同步功能已集成到帐户登录中，不再作为单独的设置选项提供。用户可以将 Chrome 连接到他们的 Google 帐户，并使用它来存储密码、书签、浏览历史记录和标签页。此功能目前已对部分用户开放，并将逐步推广。
• 采用了一种新的进程隔离模型——“源隔离”，其中每个内容源（源——协议包， 领域 例如，端口“https://foo.example.com”会被隔离在一个单独的渲染进程中。由于提高隔离粒度可能会导致内存消耗和 CPU 负载增加，因此新的隔离模式仅在内存大于 4 GB 的系统上启用。在低功耗硬件上，将继续使用旧的隔离方法，即将与单个站点关联的所有不同内容源（例如 foo.example.com 和 bar.example.com）隔离在一个单独的进程中。
• 在有 Windows и macOS对于未使用 Chrome 集中管理的应用，我们已实现自动禁用强制安装的、违反 Chrome 网上应用商店轻微违规政策的浏览器插件。轻微违规包括潜在漏洞、未经用户许可的推送式插件、元数据篡改、违反用户数据政策以及误导性功能。用户可以根据需要恢复已禁用的插件。
• 在版本中 Android与桌面版类似，浏览器也加入了基于内容分析的大型语言模型所检测到的欺诈页面警告功能。人工智能技术应用于浏览器的增强安全浏览模式。该人工智能模型在客户端运行，但如果检测到可疑内容，则会在谷歌服务器上进行额外检查。
• 用于 WebRTC 连接的 DTLS（数据报传输层安全协议，UDP 的 TLS 类似物）协议的实现包括使用后量子加密算法。
• 用户在页面上进行活动时设置的激活状态，现在在导航到同一域内的另一个页面后也会被保留。保留激活状态将简化多页面 Web 应用程序的开发，并解决诸如网站显示虚拟键盘时如何设置输入焦点等问题。
• 添加了 CSS 伪类“:target-before”和“:target-after”，用于定义相对于当前滚动位置（“:target-current”）的前一个和后一个标记。
• 样式容器 (@container) 和 if() 函数现在支持媒体查询级别 4 规范中定义的范围语法，该语法允许使用标准数学比较运算符和逻辑运算符来定义值范围。例如，您现在可以指定“@container style(--inner-padding > 1em)”和“background-color: if(style(attr(data-columns, type ) > 2):浅蓝色；否则:白色);”
• ` <div>` 和 ` <span>` 元素现在支持 `interestfor` 属性。当用户对元素表现出兴趣时，可以使用此属性触发一些操作，例如显示弹出窗口。浏览器会将鼠标悬停在元素上并保持按住、按下快捷键或在触摸屏上长按等事件识别为兴趣指示。当检测到带有 `interestfor` 属性的元素时，浏览器会生成一个 InterestEvent 事件。
• Web 开发工具已得到改进。右上角新增了 AI 助手快速启动按钮。“询问 AI”上下文菜单项已更名为“使用 AI 调试”，并扩展了功能，使其能够根据上下文执行即时操作。在 Web 控制台和代码面板中，Gemini AI 助手现在可以通过代码生成建议。

  Web 开发工具现已与 Google 开发者计划 (GDP) 集成。开发者现在可以直接从 Chrome 开发者工具访问其 GDP 个人资料，并通过完成此界面中的特定任务来获得奖励。

  

除了新增功能和修复漏洞外，新版本还修复了 20 个漏洞。其中许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer 和 AFL 等工具进行自动化测试发现的。未发现任何可能绕过所有浏览器保护层并在沙箱环境之外执行代码的严重问题。作为当前版本漏洞赏金计划的一部分，谷歌设立了 20 个赏金，总额为 13 万美元（其中两个 5 万美元，一个 1 万美元，三个 3000 美元，两个 2000 美元，三个 1000 美元）。另有八个赏金的具体金额尚未确定。

此外，Blink 渲染引擎中还发现了一个未修复的漏洞，该漏洞会导致浏览器在执行某些 JavaScript 代码时崩溃并冻结。此漏洞源于渲染引擎的架构问题，即未对“document.title”属性的更新速率进行限制。由于缺乏限制，“document.title”每秒可对 DOM 进行数千万次更改。这会导致主线程阻塞和内存消耗过大，从而在几秒钟内导致界面冻结。15-60 秒后，浏览器崩溃。

来源： opennet.ru