Релиз web-браузера Chrome 38 с устранением 159 уязвимостей
Компания Google представила релиз web-браузера Chrome 38. Браузер построен на кодовой базе свободного проекта Chromium и отличается использованием логотипов Google, идущим в комплекте модулем Flash, встроенной поддержкой формата PDF, наличием системы отправки уведомлений в случае краха, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Основные изменения:
Новое экспериментальное оформление интерфейса переключения между разными пользователями, позволяющее упростить переход в режим инкогнито и использование нескольких учётных записей на одном устройстве. Для определения активного пользователя достаточно кликнуть на кнопке «You» в правом верхнем углу и через кнопку «Sign in to Chrome» осуществить привязку к учётной записи в Google. Таким образом пользователь может переходить к использованию разных устройств, сохраняя общие настройки, закладки, содержимое открытых вкладок и историю посещений. При желании предоставить устройство для работы другого человека, можно выбрать кнопку «Switch person» и переключиться на другую учётную запись, при этом будут задействованы специфичные для данной учётной записи закладки, приложения и тема оформления; Новый экспериментальный гостевой сеанс работы с устройством, позволяющий предоставить временный доступ сторонних пользователей через текущее устройство. Основное отличие от режима переключения на другого пользователя в том, что работа осуществляется без привязки к учётной записи и после завершения сеанса все связанные с его работой данные удаляются; Экспериментальный интерфейс для контролируемых пользователей, для которых используется дополнительный контроль за активностью в Сети (например, раздешено открытие только конкретных сайтов); Поддержка нового HTML-элемента picture, позволяющего определить сложный сценарий применения различных вариантов изображения в зависимости от параметров экрана. Элемент нацелен на реализацию концепции адаптивного дизайна, но в отличие от ранее применяемых подходов, приводящих к загрузке дублирующих дург-друга ресурсов, picture позволяет организовать загрузку только требуемых для текущей конфигурации изображений. При помощи данного элемента можно задать список, определяющий условия использования разных вариантов изображений в зависимости от разрешения экрана, DPI и других характеристик; Поддержка определённых в спецификации ECMAScript 6 (ES6) структур данных Map и Set, упрощающих работу со специфичными типами коллекцией. Map позволяет определять коллекции наборов в формате ключ/значение, при том, что в качестве ключа и значения могут выступать любые выражения JavaScript. По аналогии Set позволяет задавать множество любых выражений JavaScript; Поддержка выражения «for…of», позволяющего выполнить обход перечисляемых типов данных, таких как массивы, строки, Map и Set; Поддержка типа Symbol, определённого в спецификации ECMAScript 6 и применимого для идентификаторов свойств объектов; Новые математические функции Math.sign, Math.log10, Math.trunc, Math.sinh, Math.cosh, Math.tanh, Math.asinh, Math.acosh, Math.atanh, Math.log2, Math.hypot, Math.fround, Math.clz32, Math.cbrt, Math.log1p, Math.expm1; Кроме нововведений и исправления ошибок, в новой версии устранено 159 уязвимостей, что является рекордом по сравнению с прошлыми выпусками. 113 выявлены в результате автоматизированного тестирования инструментом MemorySanitizer и представляют умеренную степень опасности. Отдельного упоминания заслуживает критическая уязвимость (CVE-2014–3188), затрагивающая ошибки в движке V8 и механизме IPC. Проблема позволяет обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 12 премий на сумму 54133.70 долларов США (одна премия $27633.70, одна премия $4500, четыре премии по $3000, пять премий по $1500 и по одной премии в $2000 и $500).
© OpenNet