Состоялся релиз браузера Google Chrome 127 для Windows, Linux и macOS. В новой версии добавлены новые опции, исправлены ранее обнаруженные ошибки, а также устранена 22 уязвимости, которые были выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Выпуск Chrome 126 произошёл в середине июня.
Пяти уязвимостям из обновления Chrome 127 присвоен высокий уровень опасности. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, разработчиками в этом выпуске не выявлено.
По данным OpenNET, основные изменения и доработки в Chrome 127:
• в режиме «инкогнито» по умолчанию включена функция «HTTPS-First», выполняющая автоматическое перенаправление HTTP-запросов на HTTPS. Для обеспечения работы с сайтами не поддерживающими HTTPS, реализован откат на HTTP, если после проброса не удаётся выполнить запрос по HTTPS или возникают проблемы с сертификатами. При попытке открытия сайта по HTTP выводится специальное предупреждение;
• начался процесс постепенного прекращения поддержки второй версии манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Отключение дополнений, использующих вторую версию манифеста, пока затрагивает только часть пользователей тестовых сборок Chrome (не релизов). Полностью завершить миграцию на третью версию манифеста планируется до июня 2025 года;
• при включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализована отправка на серверы Google дополнительной телеметрии с информацией о просматриваемых страницах, если на этих страницах используются API для инициирования вибрации (Vibration) или полного контроля над мышью (PointerLock) и клавиатурой (Keyboard). Если открываемая страница присутствует в чёрном списке, пользователю выводится соответствующие предупреждение и действие отмеченных API отключается;
• в режиме «Origin trials» реализована экспериментальная блокировка доступа к IP 0.0.0.0, так как данный IP может использоваться для обхода блокировки обращения к IP 127.0.0.1 (localhost) на платформах Linux и macOS;
• в API для статической маршрутизации ServiceWorker-ов (Service Worker Static Routing), который позволяет определить, как следует загружать определённые ресурсы и отключить вызов ServiceWorker-а для ресурсов, которые можно извлечь из кэша или загрузить напрямую, добавлена возможность применения логической операции «not» для инвертирования условий сопоставления запросов;
• обеспечена передача событий активации, сформированных при работе пользователя с контентом в окне, открытым в режиме «картинка в картинке» (picture-in-picture), в родительское для данного режима окно. Изменение позволяет на основной странице, из которой было открыто окно «картинка в картинке», использовать API User Activation (navigator.userActivation) для определения взаимодействия пользователя с данным окном (например, можно узнать щёлкал ли пользователь мышью в окне «картинка в картинке» или страница лишь загружена и остаётся нетронутой);
• внесены улучшения в инструменты для web-разработчиков. При просмотре CSS-стилей добавлены ссылки на соответствующие позиции в документе, на которые ссылаются CSS-свойства управления показом элементов, привязанных к местоположению других элементов (CSS Anchor Positioning). При просмотре HTML-кода добавлены ссылки на которые указывает атрибут «popovertarget». В панели инспектирования сетевой активности добавлена новая преднастройка симуляции скорости доступа «Fast 4G» (преднастройка «Fast 3G» переименована в «Slow 4G», а «Slow 3G» в «3G»). В панели анализа производительности при трассировке обеспечен показ сведений о событиях отправки и приёма сообщений через WebSocket;
Источник: habr.com
