主持人 > 博客 > 網絡新聞 > Chrome 版本 102

Chrome 版本 102

谷歌發布了Chrome 102網頁瀏覽器,同時作為Chrome基礎的免費Chromium專案也發布了穩定版本。 Chrome 瀏覽器與 Chromium 的不同之處在於使用 Google 標誌、存在崩潰時發送通知的系統、播放受版權保護的影片內容 (DRM) 的模組、自動安裝更新的系統、永久啟用沙盒隔離,向Google API提供金鑰並在搜尋時傳輸RLZ- 參數。 對於那些需要更多時間更新的人,單獨支援 Extended Stable 分支,隨後是 8 週。 Chrome 103 的下一個版本預定於 21 月 XNUMX 日發布。

Chrome 102 的主要變化:

  • 為了阻止因存取已釋放的記憶體區塊(釋放後使用)而導致的漏洞利用,開始使用 MiraclePtr (raw_ptr) 類型來取代普通指標。 MiraclePtr 提供了對指標的綁定,該指標針對已釋放記憶體區域的存取執行附加檢查,如果偵測到此類訪問,則會崩潰。 新的保護方法對效能和記憶體消耗的影響被評估為可以忽略不計。 MiraclePtr機制並不適用於所有流程,特別是不用於渲染流程,但它可以顯著提高安全性。 例如,在目前版本中,修正了 32 個漏洞,其中 12 個是由釋放後使用問題引起的。
  • 包含下載資訊的介面設計已變更。 帶有網址列的面板中新增了一個新的指示器,而不是顯示下載進度資料的底線;當您單擊它時,會顯示下載檔案的進度以及包含已下載檔案清單的歷史記錄。 與底部面板不同,該按鈕始終顯示在面板上,可讓您快速存取下載記錄。 目前,新介面預設僅向部分用戶提供,如果沒有問題,將擴展到所有用戶。 若要返回舊版介面或啟用新介面,提供了“chrome://flags#download-bubble”設定。
    Chrome 版本 102
  • 透過上下文選單(「使用 Google Lens 搜尋圖片」或「透過 Google Lens 尋找」)搜尋圖片時,結果現在不會顯示在單獨的頁面上,而是顯示在原始頁面內容旁的側邊欄中(在一個視窗中您可以同時看到頁面內容和存取搜尋引擎的結果)。
    Chrome 版本 102
  • 在設置的“隱私和安全”部分中,添加了“隱私指南”部分,其中概述了影響隱私的主要設置,並詳細說明了每個設置的影響。 例如,在該部分中,您可以定義向 Google 服務發送資料的策略、管理同步、Cookie 處理和歷史記錄保存。 該功能向某些用戶提供;要啟動它,您可以使用“chrome://flags#privacy-guide”設定。
    Chrome 版本 102
  • 提供搜尋記錄和查看的頁面的結構。 當您再次嘗試搜尋時,網址列中會顯示「繼續您的旅程」的提示,讓您可以從上次中斷的地方繼續搜尋。
    Chrome 版本 102
  • Chrome 線上應用程式商店提供了一個「擴充入門工具包」頁面,其中包含建議的附加元件的初始選擇。
  • 在測試模式下,當頁面存取內網資源( 192.168.xx、10.xxx、172.16.xx)或本機(128.xxx)。 當確認回應該要求的操作時,伺服器必須傳回「Access-Control-Allow-Private-Network: true」標頭。 在 Chrome 版本 102 中,確認結果尚未影響請求的處理 - 如果沒有確認,則會在 Web 控制台中顯示警告,但子資源請求本身不會被阻止。 在 Chrome 105 發布之前,預計不會在沒有伺服器確認的情況下啟用阻止。要在早期版本中啟用阻止,您可以啟用設定「chrome://flags/#private-network-access-respect-preflight-結果」。

    引入伺服器權限驗證是為了加強對與透過開啟網站時載入的腳本存取本機網路或使用者電腦 (localhost) 上的資源相關的攻擊的防護。 攻擊者利用此類請求對路由器、存取點、印表機、企業 Web 介面以及僅接受來自本機網路的請求的其他裝置和服務進行 CSRF 攻擊。 為了防止此類攻擊,如果在內網存取任何子資源,瀏覽器將發送明確請求,請求載入這些子資源的權限。

  • 透過上下文選單以隱身模式開啟連結時,一些影響隱私的參數會自動從 URL 中刪除。
  • Windows 和 Android 的更新交付策略已變更。 為了更全面地比較新舊版本的行為,現在會產生新版本的多個建置版本以供下載。
  • 網路分段技術已經穩定,可以防止基於在非永久儲存資訊的區域中儲存識別碼(「Supercookies」)來追蹤網站之間的使用者移動的方法。 由於快取的資源儲存在公共命名空間中,無論原始網域如何,一個網站都可以透過檢查該資源是否在快取中來確定另一個網站正在載入資源。 這種保護是基於網路分段(網路分區)的使用,其本質是在共享快取中添加額外的記錄與開啟主頁的網域的綁定,這限制了僅針對行動追蹤腳本的快取覆蓋範圍到目前網站( iframe 中的腳本將無法檢查資源是否是從其他網站下載的)。 狀態共享涵蓋網路連線(HTTP/1、HTTP/2、HTTP/3、websocket)、DNS 快取、ALPN/HTTP2、TLS/HTTP3 資料、設定、下載和 Expect-CT 標頭資訊。
  • 對於已安裝的獨立 Web 應用程式(PWA、漸進式 Web 應用程式),可以使用 Window Controls Overlay 元件來變更視窗標題區域的設計,該元件將 Web 應用程式的螢幕區域擴展到整個視窗。 Web 應用程式可以控制整個視窗的渲染和輸入處理,除了具有標準視窗控制按鈕(關閉、最小化、最大化)的覆蓋區塊之外,以使 Web 應用程式具有常規桌面應用程式的外觀。
    Chrome 版本 102
  • 在表單自動填充系統中,新增了在包含線上商店商品付款詳細資訊的欄位中產生虛擬信用卡號的支援。 使用虛擬卡(每次付款都會產生虛擬卡的數量)使您無需傳輸真實信用卡的數據,但需要銀行提供必要的服務。 該功能目前僅適用於美國銀行客戶。 為了控制該功能的包含,建議使用「chrome://flags/#autofill-enable-virtual-card」設定。
  • 預設情況下,「捕獲句柄」機制處於啟動狀態,允許您將資訊傳輸到捕獲影片的應用程式。 API 使得組織其內容被記錄的應用程式和執行記錄的應用程式之間的互動成為可能。 例如,捕獲視訊以廣播演示的視訊會議應用程式可以檢索有關演示控制項的資訊並將其顯示在視訊視窗中。
  • 預設啟用對推測規則的支持,提供靈活的語法來確定是否可以在使用者點擊連結之前主動載入連結相關資料。
  • 以 Web Bundle 格式將資源打包成套件的機制已經穩定,可以提高載入大量附帶檔案(CSS 樣式、JavaScript、圖片、iframe)的效率。 與Webpack格式的套件不同,Web Bundle格式具有以下優點:HTTP快取中儲存的不是套件本身,而是其組成部分; JavaScript 的編譯和執行無需等待套件完全下載即可開始; 允許包含額外的資源,例如 CSS 和圖像,這些資源在 webpack 中必須以 JavaScript 字串的形式進行編碼。
  • 可以將 PWA 應用程式定義為某些 MIME 類型和檔案副檔名的處理程序。 透過清單中的 file_handlers 欄位定義綁定後,當使用者嘗試開啟與應用程式關聯的檔案時,應用程式將收到一個特殊事件。
  • 新增了一個新的 inert 屬性,可讓您將 DOM 樹的一部分標記為「非活動」。 對於處於這種狀態的 DOM 節點,文字選擇和指標懸停處理程序被停用,即指標事件和使用者選擇 CSS 屬性始終設定為“none”。 如果一個節點可以編輯,那麼在惰性模式下它就變得不可編輯。
  • 新增了導航 API,它允許 Web 應用程式攔截視窗導航操作、啟動導航並分析應用程式的操作歷史記錄。 該 API 提供了 window.history 和 window.location 屬性的替代方案,針對單頁 Web 應用程式進行了最佳化。
  • 已為“隱藏”屬性提出了一個新標誌“until-found”,這使得元素可在頁面上搜尋並可透過文字遮罩滾動。 例如,您可以將隱藏文字新增至頁面,其內容將在本機搜尋中找到。
  • 在WebHID API 中,專為對HID 設備(人機介面設備、鍵盤、滑鼠、遊戲板、觸控板)進行低階存取並在系統中不存在特定驅動程式的情況下組織工作而設計,exclusionFilters 屬性已添加到requestDevice( ) 對象,它允許您在瀏覽器顯示可用設備清單時排除某些設備。 例如,您可以排除存在已知問題的裝置 ID。
  • 禁止在沒有明確使用者操作(例如按一下與處理程序關聯的元素)的情況下透過呼叫 PaymentRequest.show() 顯示付款表單。
  • 已停止支援用於在 WebRTC 中建立會話的 SDP(會話描述協定)協定的替代實作。 Chrome 提供了兩種 SDP 選項 - 與其他瀏覽器統一和 Chrome 特定。 從現在開始,只剩下便攜式選項了。
  • Web 開發人員的工具已改進。 在「樣式」面板中新增了按鈕來模擬深色和淺色主題的使用。 加強了網路檢查模式下預覽標籤的保護(啟用了內容安全策略的應用)。 偵錯器實作腳本終止以重新載入斷點。 已提議初步實施新的「效能洞察」面板,該面板可讓您分析頁面上某些操作的效能。
    Chrome 版本 102

除了創新和錯誤修復之外,新版本還消除了 32 個漏洞。 許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。 其中一個問題 (CVE-2022-1853) 已被指定為嚴重危險級別,這意味著能夠繞過所有級別的瀏覽器保護並在沙箱環境之外的系統上執行程式碼。 有關此漏洞的詳細資訊尚未公開;只知道它是由訪問 Indexed DB API 實作中已釋放的記憶體區塊(釋放後使用)引起的。

作為發現當前版本漏洞的現金獎勵計劃的一部分,Google 支付了24 項價值65600 美元的獎勵(一項10000 美元獎勵、一項7500 美元獎勵、兩項7000 美元獎勵、三項5000 美元獎勵、四項3000美元獎勵、兩項2000 美元獎勵、兩項1000 美元獎勵和兩項500 美元獎金)。 7 項獎勵的金額尚未確定。

來源: opennet.ru

添加評論