IT インターネット ソフトウェア

Google Chrome v90.0.4430.72 公開

Google Chrome v90.0.4430.72が公開されていました。

v89.0.4389.128も公開されていたので、89?90?となりましたが
時系列的には89->90となっている模様。

v89.0.4389.128 4月13日(アメリカ現地時間)
v90.0.4430.72 4月14日(アメリカ現地時間)

v89.0.4389.128は2件の脆弱性を修正したセキュリティアップデート。
1つ目は、レンダリングエンジン「Blink」における解放後メモリ利用(Use-after-free)の欠陥(CVE-2021-21206)。
これを悪用した攻撃も報告されているとのこと。
2つ目は、スクリプトエンジン「V8」(x86_64)で信頼できない入力の検証が不十分であった問題(CVE-2021-21220)。

最新安定版v90.0.4430.72はさらに引き続き37件の脆弱性を修正しています。
新機能も多く、結構大きなアップデートといえます。
リリースノートはまだ更新されていないみたい。

Chrome Enterprise リリースノート

ということは、機能一覧はChrome Platform Statusのほうがいいかな。

URLはデフォルトでHTTPSに
アドレスバーに入力したURLはデフォルトでHTTPS接続扱いになったのは、サイトの構成にも大きな影響がありそうです。
WebサイトがHTTPS接続に対応していない場合、自動でHTTP接続へフォールバックされるので繋がらないことはないです。
レスポンスの面では悪化していますけど、HTTPS入れろってことですね。

ドメイン名が間違っていたり、HTTPS接続の際に証明書エラーが発生したり、DNSの解決に失敗した場合もHTTP接続になるとのこと。
また、IPアドレスや“localhost”などの予約済みホスト名に関しては、デフォルトでHTTP接続のままです。

セキュリティ関連で、場合によっては影響ありそうなのは
ポート554でHTTP、HTTPS、FTPサーバへの接続をブロックするようになったことでしょうか?

WebRTCでAV1エンコーダーが利用可能になった件がニュースで大きく取り上げられています。
WebRTCは、Webブラウザでのリアルタイムコミュニケーション(RTC)を可能にすることを目的としたオープンプロジェクトで、
1月にW3CとIETFの標準となりました。
AV1は動画圧縮コーデック。オープンソースでロイヤリティフリーで、H.265と比較して処理速度も圧縮率も格段に高いことが特徴。
帯域幅が30kbps以下でも動画を視聴できるらしいですが・・・30kbps以下で動画再生って無茶な気もする。

はみ出した要素の表示方法の指定に「clip」が追加。
はみ出した部分を表示しない「overflow: hidden」と同様の動作を見た目上は行いますが、
内部的な動作が異なっていて、JavaScriptを用いても一切スクロールができないとのこと。その分パフォーマンスが向上するので使い分けですかね。

「Feature Policy」が「Permissions Policy」に名前変更
Feature PolicyはChrome 74で導入された機能で、ロケーションAPIなどユーザーの許可が必要なブラウザの機能についてのサイト内での利用を定めたものです。
名前変更のみみたいですが、ポリシーファイル変わるのかなぁ?

Shadow DOMがHTMLに登場
Shadow DOMはDOM全体から特定のサブツリーを切り離してカプセル化を行うための機能です。
これまではJavaScriptからしか作成できませんでした。
Chrome 90ではshadowroot属性を持つ「<template>」要素を用いることでHTMLからもShadow DOMを構築可能になります。

参考記事

ハッキング大会“Pwn2Own 2021”で実証された攻撃に対処 ~「Google Chrome 89」にセキュリティ更新

「Google Chrome 90」が正式公開 ~AV1エンコーダーを追加。アドレスバーのURLはHTTPS扱いに

「Chrome 90」の安定版公開 HTTPS接続強化や低帯域幅での動画改善など

Google Chrome 90安定版リリース、AV1エンコーダー搭載で細い回線でのビデオ会議の品質が向上 - GIGAZINE

-IT, インターネット, ソフトウェア

© 2021 みなずきめい.ねっと