Friday, February 22, 2013

Google Chrome 25 Stable ออกแล้ว, ปิดการทำงานส่วนขยายที่ติดตั้งโดยไม่ได้รับอนุญาตโดยอัตโนมัติ, สนับสนุน Web Speech API

ถึงตอนนี้คิดว่าหลายคนคงอัพเดท Google Chrome 25* เวอร์ชันเต็ม (Stable) กันเรียบร้อยแล้ว สำหรับการเปลี่ยนแปลงสำคัญในเวอร์ชันนี้คือ การปิดการทำงานของส่วนขยายที่ถูกติดตั้งโดยโปรแกรมเธิร์ดปาร์ตี้ที่ไม่ได้รับอนุญาตจากผู้ใช้โดยอัตโนมัติ และสนับสนุน Web Speech API ซึ่งใช้โต้ตอบกับเว็บแอพด้วยเสียง, เปลี่ยนเสียงพูดเป็นข้อความตัวอักษรหรือสั่งงานด้วยเสียงได้

Google Chrome 25 ยังสนับสนุนอินพุทเวลา/วันที่ในมาตรฐาน HTML5 ได้ดีขึ้น, มีระบบจัดการความผิดพลาด WebGL ที่ดีขึ้น, ปรับปรุงการค้นหาและการเปิดแท็บใหม่ (New tab page) ต่อเนื่องจากเวอร์ชันก่อนหน้าเพื่อให้ใช้งานได้เร็วและง่ายขึ้น, สนับสนุน Content Security Policy (CSP) สำหรับใช้ป้องกันการโจมตีแบบ cross-site scripting, สนับสนุน Shadow DOM ที่ใช้สร้างวิดเจ็ตสำหรับเว็บที่สามารถนำกลับมาใช้ซ้ำได้ และยังมีคุณลักษณะใหม่สำหรับใช้ในการพัฒนาเว็บอีกหลายอย่าง

นอกจากนี้ ยังมีการแก้ไขช่องโหว่ด้านความปลอดภัย 22 ช่องโหว่ โดยมีช่องโหว่ที่มีความรุนแรงสูง 9 ช่องโหว่ และช่องโหว่ที่มีความรุนแรงปานกลาง 8 ช่องโหว่ ซึ่งช่องโหว่เหล่านี้สามารถใช้เป็นช่องทางทำการโจมตีระบบได้

* Google Chrome 25.0.1364.97 สำหรับ Windows และ Linux, Google Chrome 25.0.1364.99 สำหรับ Mac

ป้องกันส่วนขยายไม่ให้ถูกติดตั้งโดยไม่ได้รับอนุญาต
เนื่องจากมีเธิร์ดปาร์ตี้หลายตัวใช้ช่องโหว่การติดตั้งผ่านทางกลไกรีจิสทรีของ Windows ทำการติดตั้งส่วนขยายโดยที่ผู้ใช้ไม่ทราบ ดังนั้น Google Chrome 25 จะทำการปิดการทำงานของส่วนขยายที่ถูกติดตั้งด้วยวิธีดังกล่าวโดยเธิร์ดปาร์ตี้ตั้งแต่เริ่มต้น ในกรณีที่มีส่วนขยายใหม่ถูกติดตั้งโปรแกรมจะแสดงเมนูให้ผู้ใช้เป็นผู้เลือกว่าจะเปิดใช้งานหรือจะทำการลบออก

สำหรับส่วนขยายที่ติดตั้งอยู่แล้วโดยการติดตั้งแบบ external extension deployment จะถูกปิดการทำงานโดยอัตโนมัติ โดยโปรแกรมจะแสดงเมนูให้ผู้ใช้เป็นผู้เลือกทำการเปิดใช้งานด้วยตนเอง

การดาวน์โหลดและการติดตั้ง Google Chrome 25.0.1364.97 (21 กุมภาพันธ์ 2556)
ผู้ที่ติดตั้ง Google Chrome 24 หรือเก่ากว่าบนเครื่องคอมพิวเตอร์โปรแกรมจะทำการอัพเดทเป็นเวอร์ชัน 25 ให้โดยอัตโนมัติ (สามารถตรวจสอบเวอร์ชันได้โดยการเปิดคำสั่ง About Google Chrome)

สำหรับผู้ใช้ใหม่สามารถติดตั้งโดยใช้เบราเซอร์เปิดไปที่เว็บไซต์ Install Google Chrome แล้วคลิก ดาวน์โหลด Google Chrome จากนั้นดำเนินการคำสั่งบนจอภาพจนการติดตั้งแล้วเสร็จ

ภาพที่ 1: Google Chrome 25.0.1364.97

สำหรับผู้ดูแลระบบที่ต้องการติดตั้ง Google Chrome สำหรับผู้ใช้ Windows ทุกคน สามารถอ่านวิธีการทำได้ที่ วิธีการติดตั้ง Google Chrome แบบ All Users บน Windows

Google Chrome โหมด Modern Style บน Windows 8
สำหรับผู้ใช้ Windows 8 สามารถเปิดใช้งาน Google Chrome 25 ในโหมด Modern Style (Metro Style) ได้โดยการกำหนดให้ Google Chrome เป็น Default Browser จากนั้นเมื่อทำการเปิด Google Chrome 25 จากหน้า Start จะได้หน้าต่างโปรแกรมดังภาพที่ 2

ภาพที่ 2: Google Chrome - Modern Style

มีอะไรใหม่ใน Google Chrome 25 Stable
Google Chrome 25 Stable มีคุณลักษณะใหม่ดังนี้
  • Improvements in managing and securing your extensions.
  • Better support for HTML5 time/date inputs.
  • Javascript speech API support.
  • Better WebGL error handling.
  • And lots of other features for developers.

การแก้ช่องโหว่ความปลอดภัยใน Google Chrome 25 Stable
Google Chrome 25 Stable มีการแก้ช่องโหว่ความปลอดภัยจำนวน 22 ช่องโหว่ รายละเอียดดังต่อไปนี้
  • [$1000] [172243] CVE-2013-0879: Memory corruption with web audio node. Credit to Atte Kettunen of OUSPG. (High)
  • [$1000] [171951] CVE-2013-0880: Use-after-free in database handling. Credit to Chamal de Silva. (High)
  • [$500] [167069] CVE-2013-0881: Bad read in Matroska handling. Credit to Atte Kettunen of OUSPG. (Medium)
  • [$500] [165432] CVE-2013-0882: Bad memory access with excessive SVG parameters. Credit to Renata Hodovan. (High)
  • [$500] [142169] CVE-2013-0883: Bad read in Skia. Credit to Atte Kettunen of OUSPG. (Medium)
  • [172984] CVE-2013-0884: Inappropriate load of NaCl. Credit to Google Chrome Security Team (Chris Evans). (Low)
  • [172369] CVE-2013-0885: Too many API permissions granted to web store. (Medium)
  • [Mac only] [171569] CVE-2013-0886: Incorrect NaCl signal handling. Credit to Mark Seaborn of the Chromium development community. (Medium)
  • [171065] [170836] CVE-2013-0887: Developer tools process has too many permissions and places too much trust in the connected server. (Low)
  • [170666] CVE-2013-0888: Out-of-bounds read in Skia. Credit to Google Chrome Security Team (Inferno). (Medium)
  • [170569] CVE-2013-0889: Tighten user gesture check for dangerous file downloads. (Low)
  • [169973] [169966] CVE-2013-0890: Memory safety issues across the IPC layer. Credit to Google Chrome Security Team (Chris Evans). (High)
  • [169685] CVE-2013-0891: Integer overflow in blob handling. Credit to Google Chrome Security Team (Jüri Aedla). (High)
  • [169295] [168710] [166493] [165836] [165747] [164958] [164946] CVE-2013-0892: Lower severity issues across the IPC layer. Credit to Google Chrome Security Team (Chris Evans). (Medium)
  • [168570] CVE-2013-0893: Race condition in media handling. Credit to Andrew Scherkus of the Chromium development community. (Medium)
  • [168473] CVE-2013-0894: Buffer overflow in vorbis decoding. Credit to Google Chrome Security Team (Inferno). (High)
  • [Linux / Mac] [167840] CVE-2013-0895: Incorrect path handling in file copying. Credit to Google Chrome Security Team (Jüri Aedla). (High)
  • [166708] CVE-2013-0896: Memory management issues in plug-in message handling. Credit to Google Chrome Security Team (Cris Neckar). (High)
  • [165537] CVE-2013-0897: Off-by-one read in PDF. Credit to Mateusz Jurczyk, with contributions by Gynvael Coldwind, both from Google Security Team. (Low)
  • [164643] CVE-2013-0898: Use-after-free in URL handling. Credit to Alexander Potapenko of the Chromium development community. (High)
  • [160480] CVE-2013-0899: Integer overflow in Opus handling. Credit to Google Chrome Security Team (Jüri Aedla). (Low)
  • [152442] CVE-2013-0900: Race condition in ICU. Credit to Google Chrome Security Team (Inferno). (Medium)

หมายเหตุ:
  • บั๊กจำนวนหลายตัวตรวจพบโดยใช้ AddressSanitizer
  • [$xxxx] คือ จำนวนเงินรางวัลที่กูเกิลมอบให้แก่ผู้ที่ค้นพบปัญหาความปลอดภัย

บทความโดย: TWA Blog

แหล่งข้อมูลอ้างอิง
Google Chrome Stable Update

Copyright © 2013 TWA Blog. All Rights Reserved.

0 Comment: