Chrome 版本 97

谷歌發布了Chrome 97網路瀏覽器，同時作為Chrome基礎的免費Chromium專案也發布了穩定版本。 Chrome 瀏覽器的特點是使用 Google 標誌、崩潰時發送通知的系統、播放受版權保護的視訊內容 (DRM) 的模組、自動安裝更新的系統以及在崩潰時傳輸 RLZ 參數。尋找。 對於那些需要更多時間更新的人，有一個單獨的 Extended Stable 分支，隨後是 8 週，這形成了對上一個 Chrome 96 版本的更新。 Chrome 98 的下一個版本計劃於 1 月 XNUMX 日發布。

Chrome 97 的主要變化：

• 對於某些使用者來說，配置器使用新介面來管理瀏覽器端儲存的資料（「chrome://settings/content/all」）。 新介面的主要區別在於它側重於設定權限並一次清除網站的所有 Cookie，而無法查看單一 Cookie 的詳細資訊並選擇性地刪除 Cookie。 根據 Google 的說法，不了解網頁開發複雜性的普通用戶訪問單個 Cookie 的管理可能會由於不經意地更改單個參數以及意外禁用隱私而導致網站運行出現不可預測的中斷。透過 Cookie 啟動的保護機制。 對於需要操作單一Cookie的人，建議使用Web開發人員工具中的儲存管理部分（Applocation/Storage/Cookie）。
• 如果在設定中啟動了搜尋和導航優化模式（「使搜尋和瀏覽更好」選項），則在有關網站的資訊區塊中，會顯示網站的簡要描述（例如，維基百科的描述）。
• 改進了對自動填寫 Web 表單中的欄位的支援。 帶有自動填充選項的推薦現在顯示時略有變化，並提供資訊圖標，以便更方便地預覽和視覺識別與所填寫欄位的連接。 例如，個人資料圖示清楚地表明建議的自動完成功能會影響與地址和聯絡資訊相關的欄位。
• 關閉與使用者設定檔處理程序關聯的瀏覽器視窗後，可以從記憶體中刪除使用者設定檔處理程序。 以前，設定檔保留在記憶體中，並繼續執行與後台附加腳本的同步和執行相關的工作，這導致同時使用多個設定檔的系統上不必要的資源浪費（例如，訪客設定檔和連結到Google帳戶） ）。 此外，還可以確保更徹底地清理使用設定檔時剩餘的資料。
• 改進了搜尋引擎設定頁面（“設定>管理搜尋引擎”）。 自動啟動引擎（透過 OpenSearch 腳本開啟網站時提供的相關資訊）已停用 - 用於處理網址列搜尋查詢的新引擎現在需要在設定中手動啟動（先前自動啟動的引擎將繼續無需更改即可運作） 。
• 從 17 月 XNUMX 日開始，Chrome 線上應用程式商店將不再接受使用 Chrome 清單版本 XNUMX 的加載項，但先前新增的加載項的開發人員仍可以發布更新。
• 新增了對 WebTransport 規範的實驗性支持，該規範定義了用於在瀏覽器和伺服器之間發送和接收資料的協定和隨附的 JavaScript API。 通訊通道使用 QUIC 協定作為傳輸透過 HTTP/3 進行組織。 WebTransport可以取代WebSockets機制，提供多流傳輸、單向流、亂序傳送、可靠和不可靠傳送模式等附加功能。 另外，可以使用WebTransport來取代Google在Chrome中放棄的Server Push機制。
• findLast 和 findLastIndex 方法已新增至 Array 和 TypedArrays JavaScript 物件中，可讓您搜尋結果輸出相對於陣列末端的元素。 [1,2,3,4].findLast((el) => el % 2 === 0) // → 4（最後一個偶數元素）
• 封閉（無「開放」屬性）HTML 元素，現在可搜尋和可鏈接，並且在使用頁面搜尋和片段導航 (ScrollToTextFragment) 時自動展開。
• 伺服器回應標頭中的內容安全性原則 (CSP) 限制現在適用於專用工作人員，這些工作人員以前被視為單獨的文件。
• 已提供從內部網路下載任何子資源的權限的明確請求 - 在存取內部網路或本機之前，一個帶有「Access-Control-Request-Private-」標頭的 CORS（跨來源資源共用）請求Network: true」現在被傳送到主站台伺服器，需要透過傳回「Access-Control-Allow-Private-Network: true」標頭來確認操作。
• 新增了 font-synthesis CSS 屬性，該屬性可讓您控制瀏覽器是否可以合成不屬於所選字體系列的缺失字體樣式（傾斜、粗體和小型大寫字母）。
• 對於 CSS 轉換，perspective() 函數實作一個「none」參數，該參數在組織動畫時被視為無限值。
• 用於委派權限和啟用高級功能的 Permissions-Policy（功能策略）HTTP 標頭現在支援鍵盤映射值，該值允許使用鍵盤 API。 已實作 Keyboard.getLayoutMap() 方法，該方法可讓您確定按下哪個鍵，同時考慮到不同的鍵盤佈局（例如，在俄語或英語佈局上按下某個鍵）。
• 新增了 HTMLScriptElement.supports() 方法，該方法統一了「script」元素中可用的新功能的定義，例如，您可以找到「type」屬性支援的值清單。
• 提交 Web 表單時規範化換行符的程序已與 Gecko 和 WebKit 瀏覽器引擎保持一致。 Chrome 中的換行符和回車符標準化（用\r\n 替換/r 和/n）現在是在最後階段完成的，而不是在表單提交處理的開始時完成（即使用FormData 物件的中間處理器將資料視為由使用者添加，並且不是以標準化形式）。
• 屬性名稱的命名已針對客戶端提示API 進行了標準化，該API 正在開發作為User-Agent 標頭的替代品，並允許您僅在之後選擇性地提供有關特定瀏覽器和系統參數（版本、平台等）的資料。伺服器的請求。 屬性現在以「sec-ch-」為前綴，例如 sec-ch-dpr、sec-ch-width、sec-ch-viewport-width、sec-ch-device-memory、sec-ch-rtt、sec- ch -下行鏈路和秒-ch-等。
• 停止支援 WebSQL API 的第二階段已經實施，現在將阻止來自第三方腳本的存取。 未來，我們計劃逐步完全淘汰對 WebSQL 的支持，無論使用上下文為何。 WebSQL 引擎是基於 SQLite 程式碼，攻擊者可以利用該引擎來利用 SQLite 中的漏洞。
• 對於 Windows 平台，包含具有執行流程完整性檢查（CFG，Control Flow Guard）的組件，阻止將程式碼插入 Chrome 進程的嘗試。 此外，沙箱隔離現在應用於在單獨進程中運行的網路服務，限制了這些進程中程式碼的功能。
• Android 版 Chrome 包含一種動態更新已頒發和撤銷憑證日誌的機制（憑證透明度），該機制之前是在桌面系統上付費啟動的。
• Web 開發人員的工具已改進。 已實現對不同設備之間同步 DevTools 設定的實驗性支援。 新增了新的記錄器面板，您可以透過該面板記錄、回放和分析使用者在頁面上的操作。

  在 Web 控制台中顯示錯誤時，會顯示與問題相關的列號，這有助於偵錯精簡 JavaScript 程式碼中的問題。 更新了可模擬評估行動裝置上頁面顯示的裝置清單。 在編輯 HTML 區塊（編輯為 HTML）的介面中，新增了語法突出顯示和自動完成輸入的功能。

  

除了創新和錯誤修復之外，新版本還消除了 37 個漏洞。 許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。 其中一個漏洞已被指定為嚴重問題，允許繞過所有層級的瀏覽器保護並在沙箱環境之外的系統上執行程式碼。 有關嚴重漏洞 (CVE-2022-0096) 的詳細資訊尚未披露；只知道它與存取用於使用內部儲存（儲存 API）的程式碼中已釋放的記憶體區域有關。

作為為當前版本的漏洞提供現金獎勵的計劃的一部分，Google 支付了24 個獎金，價值54 美元（三個10000 美元獎勵，兩個5000 美元獎勵，一個4000 美元獎勵，三個3000 美元獎勵和一個1000美元獎勵）。 14項獎勵的金額尚未確定。

來源： opennet.ru