Google обновила браузер Chrome до версии 66. Пользователи автоматически получат релиз 66.0.3359.117 при очередном запуске программы. Обновление содержит более 50 исправлений безопасности, а также ряд важных функциональных доработок.

Авторы активировали возможность изоляции данных сайта для небольшого количества пользователей браузера. Функция была доступна в Chrome начиная с релиза 63, однако оставалась скрытой в служебном меню Flags и выключенной по умолчанию. Она по-прежнему отображается в списке экспериментальных опций, вызываемых по команде chrome://flags/, но у отдельных пользователей доступна и в базовых настройках.

Изоляция данных сайта препятствует выполнению внешнего кода на открытой в браузере странице. Это обеспечивает дополнительную безопасность данных и является одним из факторов защиты от атак, основанных на уязвимостях Meltdown и Spectre. Google тестирует новую технологию и планирует добавить ее в стандартный функционал браузера в одном из будущих релизов.

Новая версия Chrome стала очередным шагом вендора на пути исключения из числа доверенных SSL-сертификатов Symantec. Начиная с текущего релиза, браузер будет предупреждать пользователей о переходе на сайты, которые используют такие разрешения, выданные до 1 июня 2016 года. Сертификаты от партнеров Symantec, среди которых популярные сервисы RapidSSL, VeriSign, Equifax, Thawte и GeoTrust, также будут помечены как ненадежные.

Скандал с SSL-сертификатами от Symantec тлеет с января прошлого года, когда на одном из форумов разработчиков Mozilla появилась запись о ряде нарушений, замеченных в удостоверениях этого вендора. Компания не смогла внятно объяснить причину появления сомнительных разрешений, а также гарантировать валидность новых сертификатов. Chrome будет помечать все сайты с https-доступом от Symantec как небезопасные начиная с версии 70, запланированной на октябрь этого года.

Инженеры Google добавили в новый релиз предупреждения о попытках внедрения сторонних скриптов в активные процессы Chrome. Обычно этим грешат антивирусные программы, проверяющие страницы «на лету», и всевозможные утилиты для отладки веб-кода. Теперь пользователя будут предупреждать о том, что одно из приложений мешает корректной работе браузера.

Разработчики настроены полностью запретить чужие инъекции в работу браузера к январю 2019-го, когда выйдет версия Chrome 72. До этого момента планируется выпуск промежуточного релиза программы, который будет блокировать сторонний код по умолчанию, но допускать его выполнение, если без него окажется невозможен запуск браузера.

Среди ошибок, исправленных в новой версии Chrome, выделяются две критические уязвимости, связанные с обращением к освобожденной области памяти при реализации кэширования на диск.

Еще несколько серьезных проблем пропатчены в подсистеме обработки PDF-файлов, модуле исполнения байт-кода WebAssembly и графическом движке Skia.

В общей сложности разработчики Google закрыли в новой версии браузера 62 бреши разной степени серьезности. Для сравнения — прошлый апдейт, выложенный в марте, содержал исправления лишь для 45 уязвимостей.

Стоить отметить, что команда Chrome уделяет большое внимание не только корректной работе браузера, но и безопасности подключаемых к нему плагинов. Недавно из магазина дополнений обозревателя удалили все расширения для майнинга криптовалюты. Как пояснили в Google, большинство из них не выполняли ключевых правил, установленных для размещения подобных утилит.

Категории: Главное, Кибероборона