Google Chrome là gì?
Google Chrome là trình duyệt web đa nền tảng, được phát triển bởi Google, phát hành lần đầu vào năm 2008 cho Windows. Hiện tại nó đã có mặt trên cả Linux, macOS, iOS và Android. Ngoài tốc độ duyệt web nhanh thì tính năng đồng bộ dữ liệu web trên mọi thiết bị thông qua tài khoản Google chính là điều khiến cho người dùng khó từ bỏ trình duyệt này.
Dưới đây bạn sẽ tìm thấy những tính năng, thay đổi trên các phiên bản Chrome mới nhất và các bản cập nhật bảo mật khẩn cấp.
Chrome 97 vá 37 lỗ hổng bảo mật
Google vừa phát hành Chrome 97 cho Windows, Mac và Linux. Bên cạnh các tính năng mới, Chrome 97 đã khắc phục 37 lỗ hổng bao gồm 24 lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài.
Trong số 24 lỗ hổng bảo mật được báo cáo bởi bên ngoài, một lỗi được đánh giá là rất nghiêm trọng, 10 lỗi nghiêm trọng, 10 lỗi trung bình và 3 lỗi ở mức thấp. Phổ biến nhất là lỗ hổng use-after-free (UAF – lỗi sử dụng sai bộ nhớ động trong quá trình vận hành chương trình) và lỗi triển khai không đúng cách.
Lỗ hổng nghiêm trọng nhất là CVE-2022-0096 khi nó có thể bị lợi dụng để thực thi code trong ngữ cảnh của trình duyệt.
5 trong số 10 lỗ hổng có mức độ nghiêm trọng được giải quyết trong bản cập nhật này là lỗ hổng UAF. Chúng ảnh hưởng tới các thành phần như chụp ảnh màn hình, đăng nhập, SwiftShader, PDF và Autofill.
5 lỗ hổng còn lại liên quan tới việc triển khai không phù hợp trong DevToools, nhầm lẫn nhập trong V8, tràn bộ nhớ đệm heap trong Bookmarks, V8 và ANGLE.
Một nửa trong số các lỗi trung bình là lỗi triển khai không đúng cách ảnh hưởng tới các thành phần như điều hướng, Autofill, Blink và compositing. Các lỗ hổng còn lại bao gồm UAF trong API File Manager, giao diện bảo mật không chính xách trong Autofill và Browser UI, truy cập ngoài giới hạn bộ nhớ trong Web Serial và lỗi trong API File.
Google không đưa ra cảnh báo hay tư vấn nào cho các lỗ hổng vừa được vá. Ngoài ra, không có báo cáo nào về việc các lỗ hổng này bị hacker khai thác.
Cập nhật khẩn cấp Chrome 96.0.4664.110 vá lỗ hổng zero-day
Google vừa tung ra bản cập nhật khẩn cấp Chrome 96.0.4664.110 cho Windows, Mac và Linux để khắc phục lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực. “Google nhận được các thông báo về việc lỗ hổng CVE-2021-4102 đang bị khai thác”, Google chia sẻ.
Bản cập nhật Chrome 96.0.4664.110 hiện đã được tung ra và sẽ mất một khoảng thời gian trước khi nó tự động cập nhật và cài đặt trên tất cả các máy tính cài trình duyệt Chrome. Nếu không muốn chờ đợi, bạn có thể cập nhật thủ công bằng cách truy cập menu Chrome > Help > About Google Chrome. Trình duyệt sẽ tự động kiểm tra và tự cài đặt bản cập nhật trong lần chạy tiếp theo.
Lỗ hổng zero-day được vá lần này có mã CVE-2021-4102 được báo cáo bởi một nhóm nghiên cứu bảo mật ẩn danh. Nó khai thác một điểm yếu trong engine Chrome V8 JavaScript.
Kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã nhịn phân hoặc thoát chế độ hộp cát bảo mật của trình duyệt trên các máy tính chạy bản Chrome chưa được vá. Google cho biết họ phát hiện ra các cuộc tấn công lợi dụng lỗ hổng CVE-2021-4102 nhưng không chia sẻ thông tin chi tiết.
Cho tới khi Google chia sẻ thêm thông tin về lỗ hổng, cách tốt nhất để đảm bảo an toàn cho bạn là cập nhật ngay bản vá mới nhất cho Chrome.
Đây không phải lần đầu Google phải tung ra bản vá khẩn cấp trong năm nay. Tính từ đầu năm đến nay, Google đã phải vá rất nhiều lỗ hổng zero-day nghiêm trọng. Hầu hết trong số này được báo cáo bởi các nhóm nghiên cứu bảo mật ẩn danh.
Tính năng mới của Chrome 96 vừa ra mắt
Phiên bản Chrome 96 vừa được chính thức được Google phát hành hôm nay, 17 tháng 10 năm 2021, với một số cải tiến đáng chú ý sau.
Tốc độ điều hướng trang được cải thiện
Nếu bạn đã từng có cảm giác hơi chậm (hoặc thậm chí giật, lag nhẹ) khi sử dụng các nút điều hướng như quay lại (back) và chuyển tiếp (forward) trên Chrome, thì phiên bản 96 hứa hẹn sẽ khắc phục tương đối trệt để hiện tượng đó.
Cụ thể, từ phiên bản 96, Google sẽ chuyển sang sử dụng một bộ nhớ cache mới để lưu các trang web mà bạn người dùng đã truy cập gần đây trên máy tính của mình. Bằng cách đó, khi bạn quay lại hoặc chuyển tiếp trang, nội dung của chúng sẽ được hiển thị nhanh và mượt mà hơn. Điều này sẽ phải trả giá bằng việc Chrome sử dụng nhiều RAM hơn, nhưng cũng sẽ không quá đáng kể.
File PNG sẽ duy trì siêu dữ liệu
Có một điều kỳ lạ được phát hiện trên Chrome, đó là trình duyệt sẽ tự động xóa siêu dữ liệu trên các tệp PNG được dán khỏi khay nhớ tạm (clipboard). Không có bất cứ nền tảng trình duyệt web nào khác sở hữu “tính năng” tương tự.
May thay, Chrome 96 sẽ giải quyết ổn thỏa vấn đề này. Tất cả các tệp PNG mà bạn dán vào Chrome từ giờ sẽ đều giữ lại siêu dữ liệu được liên kết.
Chế độ nền tối trên mỗi trang web
Ứng dụng Chrome dành cho thiết bị di động hiện đã hỗ trợ chế độ nền tối (dark mode), nhưng Google đang thử nghiệm một số cải tiến nâng cao nhằm mang lại trải nghiệm người dùng tốt hơn. Theo đó, sẽ có một tùy chọn mới (ẩn dưới dạng flag) cho phép bạn tạo một danh sách ngoại lệ, trong đó liệt kê các trang web mà bạn không muốn hiển thị ở chế độ nền tối.Tất nhiên tính năng này mới chỉ ở giai đoạn đầu của quá trình thử nghiệm, do đó chắc chắn sẽ vẫn có lỗi phát sinh trong quá trình sử dụng.
Nhìn chung, đây là một tính năng nhỏ nhưng hữu ích, phù hợp với những trang web trông không được đẹp hay dễ đọc ở dark mode.
Bật flag tại: chrome://flags/#darken-websites-checkbox-in-themes-setting.
Chuẩn bị cho Chrome 100
Năm tới, Chrome sẽ có phiên bản 100 – theo kế hoạch sẽ là một bản cập nhật lớn. Google dừng như đã sẵn sàng cho cột mốc đáng nhớ này. Chrome 96 đi kèm với một runtime flag, trong đó trả về giá trị “100” trong chuỗi iuser agent. Bạn có thể tìm thấy flag mới này tại: chrome://flags/#force-major-version-to-100, khả dụng từ Chrome 96 trở đi.
Một số thay đổi đáng chú ý khác
Dưới đây là một vài thay đổi nhỏ đáng chú ý khác trên Chrome 96:
- Chrome sẽ phân tích bản ghi DNS cho các miền HTTP để tìm bản ghi HTTPS. Nếu tìm thấy, kết nối sẽ được thiết lập trực tiếp qua HTTPS.
- Các ứng dụng web hiện có thể đăng ký dưới dạng trình xử lý giao thức URL, ví dụ: để khởi chạy liên kết twitter bằng Twitter PWA hoặc liên kết FTP bằng ứng dụng FTP web.
- Ngoài ra còn có các cải tiến bảo mật liên quan đến WebAssembly.
Tính năng mới của Chrome 95
Phiên bản Google Chrome 95 được phát hành với một số cảnh tiến đáng chú ý sau:
Cải thiện sự an toàn trong hoạt động thanh toán trực tuyến
Bên cạnh sự tiện lợi không phải bàn cãi, hoạt động mua hàng trực tuyến cũng đi kèm với một số rủi ro nhất định. Google đang cố gắng hạn chế tối đa những rủi ro đó cho người dùng qua từng bản cập nhật. Với phiên bản 95, tính an toàn trong quy trình xác thực thanh toán của Chrome sẽ được cải thiện đáng kể với sự xuất hiện của một tiện ích hỗ trợ xác thực mới.
Mục đích mà Google hướng đến là làm cho quá trình mua hàng – xác thực – thanh toán trở nên an toàn và dễ dàng hơn. Bên thứ ba — chẳng hạn như ngân hàng — có thể sử dụng tiện ích mở rộng mới do Google phát triển để xác thực bất kỳ yêu cầu nào trong quá trình thanh toán.
Ứng dụng web có thể trở thành ứng dụng mặc định
Trong Chrome 95, các ứng dụng web có thể tự đăng ký mình là “trình xử lý URL” (URL handlers). Điều này đồng nghĩa với việc chúng có thể hoạt động tương tự như các ứng dụng gốc mặc định hơn. Ví dụ: Khi bạn nhấp vào một đường link được liên kết với một dịch vụ cụ thể nào đó, có thể mở liên kết này trong ứng dụng web của dịch vụ đó.
Công cụ Color Eyedropper cho ứng dụng web
Chrome 95 trên nền tảng PC sẽ được bổ sung API EyeDropper mới. Công cụ Eyedropper cho phép bạn chọn màu từ hình ảnh. Bạn có thể đã thấy tính năng này trên một số trang web, nhưng giờ đây nó có thể được triển khai dễ dàng hơn thông qua API tích hợp sẵn.
Tính năng lưu nhóm tab
Nhóm tab (Tab Groups) đã dần trở thành một tính năng tiêu chuẩn trên các nền tảng trình duyệt web nói chung và Chrome cũng không phải ngoại lệ. Google sẽ tiếp tục cải tiến tính năng này với khả năng lưu nhóm tab trong Chrome 95.
Tính năng này khá dễ sử dụng và cực kỳ hữu ích. Bạn có thể tạo nhóm tab như bình thường,và sau đó lưu nó để tiện mở lại ở phiên sử dụng sau một cách tiện lợi, tiết kiệm thời gian, thay vì phải mở các tab và tạo nhóm lại như thông thường.
Tính năng này hiện đang được ẩn thới dạng một flag có thể tìm thấy tại chrome://flags/#tab-groups-save.
Một số thay đổi khác
Dưới đây là một vài thay đổi nhỏ đáng chú ý khác trên Chrome 95:
- Thay thế API truy cập hệ thống tệp cũ bằng API nền tảng lưu trữ mới nhằm nâng cao sự riêng tư cho người dùng
- Google đã bắt đầu xóa hỗ trợ FTP trong Chrome 88, nhưng hiện tại Chrome 95 đang lược bỏ thêm khả năng hỗ trợ cho các URL FTP.
- Bảng điều khiển Lighthouse hiện đang chạy Lighthouse 8.4.
- Quy trình tìm kiếm tệp trong menu Command đã trở nên dễ dàng hơn với giao diện người dùng mới.
Tính năng mới của Chrome 94
Phiên bản Google Chrome 94 được phát hành với một số cảnh tiến đáng chú ý sau:
Bản vá khẩn cấp Chrome 94.0.4606.61 vá lỗ hổng zero-day đang bị hacker khai thác tích cực
Google vừa tung ra bản cập nhật Chrome 94.0.4606.61 cho Windows, Mac và Linux. Đây là một bản cập nhật khẩn cấp nhằm vá lỗ hổng zero-day nghiêm trọng đang được hacker tích cực khai thác.
“Google phát hiện ra một công cụ khai thác lỗ hổng CVE-2021-37973 đang tích cực hoạt động”, Google chia sẻ trong một tài liệu tư vấn bảo mật vừa được phát hành.
Bản cập nhật Chrome khẩn cấp này đã được tung ra trên toàn cầu cho kênh Stable trên máy tính và nó sẽ có sẵn cho tất cả người dùng trong những ngày và những tuần tới.
Bạn có thể kiểm tra và cài đặt ngay bản cập nhật bằng cách truy cập menu Chrome > Trợ giúp > Giới thiệu Google Chrome.
Lỗ hổng zero-day mới này là lỗ hổng đầu tiên của phiên bản Chrome 94. Được đánh mã số CVE-2021-37973, lỗ hổng này khai thác điểm yếu trong Portals, hệ thống điều hướng trang web mới của Google cho Chrome. Khai thác thành công lỗ hổng hacker có thể thực thi code tùy ý trên các máy tính chạy những phiên bản Chrome chưa được vá.
Google không thông tin gì về vụ khai thác lỗ hổng CVE-2021-37973 mà họ phát hiện ra. Điều này xuất phát từ việc nhiều người dùng vẫn chưa vá lỗ hổng này nên việc công khai các chi tiết có thể khiến họ gặp vấn đề.
Người dùng Google Chrome được khuyến cáo nên cập nhật ngay trình duyệt của họ để đảm bảo an toàn.
Tính tới thời điểm hiện tại của năm 2021, Google đã phải tung ra bản vá cho 11 lỗ hổng zero-day trên Chrome.
Truy cập nhanh tệp Google Drive trên trang tab mới
Đầu năm nay, Google đã thử nghiệm bổ sung thêm các mục “Card” (Thẻ) vào trang tab mới trên Chrome. Lúc đầu, các mục này chủ yếu bao gồm những thông tin như công thức nấu ăn và gợi ý mua sắm… khá “vô thưởng vô phạt”, do đó không được nhiều người để ý.
Tuy nhiên bắt đầu từ chrome 94, mục “Card” sẽ được bổ sung thêm một phần mới có tên “From Your Google Drive”, trong đó hiển thị ba tài liệu và tệp được mở gần đây nhất. Từ đây, người dùng có thể truy cập nhanh vào những tệp Google Drive mà mình đã tương tác gần đây.
Tập trung hơn nữa vào HTTPS
Bắt đầu từ Chrome 90, Google đã đặt HTTPS làm giao thức mặc định trên Chrome. Có nghĩa là trình duyệt sẽ tự động tải HTTPS nếu trang web đích có hỗ trợ giao thức này. Trên Chrome 94, Google sẽ tiếp tục nhấn mạnh hơn nữa yêu cầu về giao thức kết nối an toàn này, với một chế độ mới gọi là “HTTPS-First Mode”.
Nhiệm vụ của HTTPS-First Mode là cố gắng nâng cấp tất cả các trang web mà người dùng truy cập lên HTTPS. Trong trường hợp Chrome không thể tải trang bằng HTTPS, bạn sẽ thấy một cảnh báo an toàn được hiển thị, trước khi quyết định có tiếp tục truy cập trang web với chuẩn HTTP kém an toàn hơn hay không.
Cải thiện khả năng xử lý đồ họa
Trên Chrome 94, Google sẽ bắt đầu thử nghiệm một API mới cho phép các nhà phát triển web khai thác triệt để hơn sức mạnh đồ họa của hệ thống phần cứng. API WebGPU sẽ đặc biệt hữu ích đối với các trò chơi chạy trên trình duyệt.
API WebGPU sẽ có đôi chút khác biệt so với các API WebGL và WebGL2 cũ hơn. Thông qua đó, trình duyệt có thể khai thác các công nghệ xử lý gốc trên thiết bị, bao gồm “Metal” của Apple, “Direct3D” của Microsoft và tiêu chuẩn mở “Vulkan”.
Chrome Android có thêm chủ đề “Material You”
Chrome 93 đã bắt đầu triển khai một số chủ đề theo phong cách Material You của Android 12, và nhận được phản hồi tốt từ người dùng. Do đó, phiên bản 94 sẽ chứa đựng nhiều ngôn ngữ thiết kế mới của Google hơn. Các gam màu mới có thể được tìm thấy trên trang chủ, nguồn cấp dữ liệu trang chủ và trong trang kết quả tìm kiếm.
Thử nghiệm menu chia sẻ (Sharing Menu) mới trên Chrome desktop
Các ứng dụng dành cho thiết bị di động thường sẽ sở hữu những công cụ tích hợp cho phép người dùng dễ dàng chia sẻ mọi nội dung với các ứng dụng, nền tảng khác. Chrome 94 đang triển khai chức năng tương tự trên ứng dụng PC với mục mới có tên “Sharing Hub”.
Tính năng này vẫn đang trong giai đoạn thử nghiệm, do đó sẽ được ẩn dưới dạng một flag. Sau khi kích hoạt, bạn sẽ thấy một biểu tượng chia sẻ mới trên thanh địa chỉ. Nhấp vào biểu tượng này sẽ hiển thị một số tùy chọn chia sẻ nhanh, bao gồm sao chép liên kết, casting, Facebook, Twitter, v.v.
Bật flag này bằng cách truy cập chrome://flags/#sharing-hub-desktop-app-menu.
Hiện tại, Chrome sẽ phát hành 4 tuần một lần, do đó số lượng tính năng mới trên các bản cập nhật cũng sẽ giảm đi đôi chút. Bạn có thể tìm hiểu kỹ hơn về các thay đổi này trên trang web dành cho nhà phát triển của Google, cũng như trên blog Chromium.
Tính năng mới của Chrome 93
Phiên bản Google Chrome 93 với một số cảnh tiến đáng chú ý sau:
Bản vá khẩn cấp Chrome 93.0.4577.82 vá 11 lỗ hổng bảo mật
Google vừa tung ra một bản vá khẩn cấp cho Google Chrome với số phiên bản là 93.0.4577.82. Bản vá này khắc phục 11 lỗ hỏng bảo mật, 2 trong số đó là lỗ hổng zero-day đang bị hacker tích cực khai thác.
Được theo dõi dưới mã CVE-2021-30632 và CVE-2021-30633, hai lỗ hổng nghiêm trọng vừa được Google vá có liên quan đến việc ghi ngoài giới hạn trong công cụ JavaScript V8 và các vấn đề khác. Google cũng đã gửi lời cảm ơn tới các nhà nghiên cứu bảo mật ẩn danh vào ngày 8/9 vì đã phát hiện và báo cáo những lỗ hổng này.
Google chỉ chia sẻ rằng CVE-2021-30632 và CVE-2021-30633 đang bị hacker khai thác. Những thông tin khác như cách thức, thời điểm và vị trí hacker khai thác lỗ hổng không được gã khổng lồ phần mềm hé lộ. Đây có lẽ là phương pháp bảo vệ mà Google áp dụng để tránh kẻ xấu tiếp tục lơi dụng lỗ hổng.
Tính tới thời điểm này của năm 2021, Google đã phải vá tới 11 lỗ hổng zero-day trên trình duyệt Chrome. Google khuyến cáo người dùng nên cập nhật ngay phiên bản 93.0.4577.82 để khắc phục các lỗ hổng bảo mật.
Vị trí cửa sổ đa màn hình
Thêm các API thông tin màn hình mới và cải tiến từng bước cho các API vị trí cửa sổ hiện có, cho phép các ứng dụng web cung cấp trải nghiệm đa màn hình hấp dẫn. Nói một cách ngắn gọn, tính năng này mở khóa không gian làm việc đa màn hình hiện đại cho các ứng dụng web.
API Clipboard: SVG
Thêm hỗ trợ image/svg+xml vào API Async Clipboard. Các trang web hỗ trợ SVG có thể muốn sao chép hình ảnh SVG trên các trang như Figma và Photopea.
Tính năng ghi chú mới
Bổ sung thêm một cách để ứng dụng web tự xác định là ứng dụng ghi chú và một cách khai báo để thực hiện một hành động ghi chú đơn giản: mở một URL để tạo một ghi chú mới.
API WEBOTP: Hỗ trợ chéo nhiều thiết bị
Google có kế hoạch hỗ trợ API WebOTP trên máy tính để bàn khi cả Chome Desktop và Chome Android đều đăng nhập vào cùng một tài khoản Google. API WebOTP cung cấp cho nhà phát triển khả năng lập trình đọc mã một lần từ các SMS có định dạng đặc biệt được gửi từ nguồn để giảm sự phiền hà cho người dùng. Hiện tại, tính năng này chỉ hỗ trợ các thiết bị di động có hỗ trợ SMS.
Khả năng điều chỉnh màu chủ đề
Thuộc tính “media” của phần tử meta sẽ được sử dụng cho meta[name=”theme-color”] nên nhà phát triển web có thể điều chỉnh màu chủ đề của trang web dựa trên truy vấn media (ví dụ dark và light mode).
Loại bỏ 3DES trong TLS
TLS_RSA_WITH_3DES_EDE_CBC_SHA là một phần còn lại của kỷ nghiên SSL 2.0 và SSL 3.0. 3DES trong TLS rất dễ bị tấn công bởi Sweet32. Ngoài ra, nó còn là một phần của bộ mật mã CBC nên rất dễ bị tấn công Lucky Thirteen. Vì vậy, việc loại bỏ 3DES là cần thiết để nâng cao tính bảo mật.
