ProHoster > Blog > noticias de internet > Chrome Versión 102

Chrome Versión 102

Google ha presentado el lanzamiento del navegador web Chrome 102. Al mismo tiempo, está disponible una versión estable del proyecto gratuito Chromium, que sirve como base para Chrome. El navegador Chrome se diferencia de Chromium en el uso de los logotipos de Google, la presencia de un sistema para enviar notificaciones en caso de falla, módulos para reproducir contenido de video protegido contra copia (DRM), un sistema para instalar actualizaciones automáticamente y habilitar permanentemente el aislamiento Sandbox. , proporcionando claves para la API de Google y transmitiendo RLZ- durante la búsqueda. Para aquellos que necesitan más tiempo para actualizar, la rama estable extendida se admite por separado, seguida de 8 semanas. El próximo lanzamiento de Chrome 103 está previsto para el 21 de junio.

Cambios clave en Chrome 102:

  • Para bloquear la explotación de vulnerabilidades provocadas por el acceso a bloques de memoria ya liberados (use-after-free), en lugar de punteros ordinarios, se empezó a utilizar el tipo MiraclePtr (raw_ptr). MiraclePtr proporciona un enlace sobre punteros que realiza comprobaciones adicionales en los accesos a áreas de memoria liberadas y falla si se detectan dichos accesos. El impacto del nuevo método de protección en el rendimiento y el consumo de memoria se considera insignificante. El mecanismo MiraclePtr no es aplicable en todos los procesos, en particular no se utiliza en procesos de renderizado, pero puede mejorar significativamente la seguridad. Por ejemplo, en la versión actual, de las 32 vulnerabilidades corregidas, 12 fueron causadas por problemas de uso después de la liberación.
  • Se ha cambiado el diseño de la interfaz con información sobre descargas. En lugar de la línea inferior con datos sobre el progreso de la descarga, se agregó un nuevo indicador al panel con la barra de direcciones; al hacer clic en él, se muestra el progreso de la descarga de archivos y un historial con una lista de archivos ya descargados. A diferencia del panel inferior, el botón se muestra constantemente en el panel y le permite acceder rápidamente a su historial de descargas. La nueva interfaz se ofrece actualmente por defecto sólo a algunos usuarios y se extenderá a todos si no hay problemas. Para devolver la interfaz anterior o habilitar una nueva, se proporciona la configuración "chrome://flags#download-bubble".
    Chrome Versión 102
  • Al buscar imágenes a través del menú contextual (“Buscar imagen con Google Lens” o “Buscar a través de Google Lens”), los resultados ahora no se muestran en una página separada, sino en una barra lateral al lado del contenido de la página original (en en una ventana se puede ver simultáneamente tanto el contenido de la página como el resultado del acceso al motor de búsqueda).
    Chrome Versión 102
  • En la sección "Privacidad y Seguridad" de la configuración, se ha añadido una sección "Guía de Privacidad", que ofrece una visión general de las principales configuraciones que afectan a la privacidad con explicaciones detalladas del impacto de cada configuración. Por ejemplo, en la sección puedes definir la política de envío de datos a los servicios de Google, gestionar la sincronización, el procesamiento de cookies y el guardado del historial. La función se ofrece a algunos usuarios; para activarla, puede utilizar la configuración "chrome://flags#privacy-guide".
    Chrome Versión 102
  • Se proporciona la estructuración del historial de búsqueda y las páginas visitadas. Cuando intentas buscar nuevamente, aparece un mensaje "Reanuda tu viaje" en la barra de direcciones, lo que te permite continuar la búsqueda desde el lugar donde se interrumpió la última vez.
    Chrome Versión 102
  • Chrome Web Store ofrece una página "Kit de inicio de extensiones" con una selección inicial de complementos recomendados.
  • En el modo de prueba, el envío de una solicitud de autorización CORS (Cross-Origin Resource Sharing) al servidor del sitio principal con el encabezado "Access-Control-Request-Private-Network: true" se habilita cuando la página accede a un recurso en la red interna ( 192.168.xx, 10.xxx, 172.16.xx) o al host local (128.xxx). Al confirmar la operación en respuesta a esta solicitud, el servidor debe devolver el encabezado “Access-Control-Allow-Private-Network: true”. En Chrome versión 102, el resultado de la confirmación aún no afecta el procesamiento de la solicitud; si no hay confirmación, se muestra una advertencia en la consola web, pero la solicitud de subrecurso en sí no se bloquea. No se espera habilitar el bloqueo en ausencia de confirmación del servidor hasta el lanzamiento de Chrome 105. Para habilitar el bloqueo en versiones anteriores, puede habilitar la configuración "chrome://flags/#private-network-access-respect-preflight- resultados".

    La verificación de autoridad por parte del servidor se introdujo para fortalecer la protección contra ataques relacionados con el acceso a recursos en la red local o en la computadora del usuario (localhost) desde scripts cargados al abrir un sitio. Los atacantes utilizan dichas solicitudes para llevar a cabo ataques CSRF en enrutadores, puntos de acceso, impresoras, interfaces web corporativas y otros dispositivos y servicios que aceptan solicitudes solo de la red local. Para protegerse contra tales ataques, si se accede a algún subrecurso en la red interna, el navegador enviará una solicitud explícita de permiso para cargar estos subrecursos.

  • Al abrir enlaces en modo incógnito a través del menú contextual, algunos parámetros que afectan a la privacidad se eliminan automáticamente de la URL.
  • Se ha cambiado la estrategia de entrega de actualizaciones para Windows y Android. Para comparar más completamente el comportamiento de las versiones nuevas y antiguas, ahora se generan varias compilaciones de la nueva versión para descargar.
  • La tecnología de segmentación de red se ha estabilizado para proteger contra métodos de seguimiento de movimientos de usuarios entre sitios basados ​​en el almacenamiento de identificadores en áreas no destinadas al almacenamiento permanente de información ("Supercookies"). Debido a que los recursos almacenados en caché se almacenan en un espacio de nombres común, independientemente del dominio de origen, un sitio puede determinar que otro sitio está cargando recursos al verificar si ese recurso está en el caché. La protección se basa en el uso de segmentación de red (Network Partitioning), cuya esencia es agregar a las cachés compartidas una vinculación adicional de registros al dominio desde el que se abre la página principal, lo que limita la cobertura de la caché solo para scripts de seguimiento de movimiento. al sitio actual (un script de un iframe no podrá verificar si el recurso se descargó de otro sitio). El estado compartido cubre conexiones de red (HTTP/1, HTTP/2, HTTP/3, websocket), caché DNS, datos ALPN/HTTP2, TLS/HTTP3, configuración, descargas e información del encabezado Expect-CT.
  • Para las aplicaciones web independientes instaladas (PWA, Progressive Web App), es posible cambiar el diseño del área del título de la ventana utilizando los componentes de Superposición de controles de ventana, que extienden el área de pantalla de la aplicación web a toda la ventana. Una aplicación web puede controlar la representación y el procesamiento de entrada de toda la ventana, con la excepción del bloque de superposición con botones de control de ventana estándar (cerrar, minimizar, maximizar), para darle a la aplicación web la apariencia de una aplicación de escritorio normal.
    Chrome Versión 102
  • En el sistema de autocompletar formularios, se agregó soporte para generar números de tarjetas de crédito virtuales en campos con detalles de pago de productos en tiendas en línea. El uso de una tarjeta virtual, cuyo número se genera para cada pago, le permite no transferir datos sobre una tarjeta de crédito real, pero requiere la prestación del servicio necesario por parte del banco. Actualmente, la función solo está disponible para clientes de bancos estadounidenses. Para controlar la inclusión de la función, se propone la configuración “chrome://flags/#autofill-enable-virtual-card”.
  • El mecanismo “Capture Handle” está activado de forma predeterminada, lo que le permite transferir información a aplicaciones que capturan video. La API permite organizar la interacción entre las aplicaciones cuyo contenido se graba y las aplicaciones que realizan la grabación. Por ejemplo, una aplicación de videoconferencia que captura video para transmitir una presentación puede recuperar información sobre los controles de la presentación y mostrarlos en la ventana de video.
  • La compatibilidad con reglas especulativas está habilitada de forma predeterminada, lo que proporciona una sintaxis flexible para determinar si los datos relacionados con el enlace se pueden cargar de forma proactiva antes de que el usuario haga clic en el enlace.
  • Se ha estabilizado el mecanismo para empaquetar recursos en paquetes en formato Web Bundle, lo que permite aumentar la eficiencia de cargar una gran cantidad de archivos adjuntos (estilos CSS, JavaScript, imágenes, iframes). A diferencia de los paquetes en formato Webpack, el formato Web Bundle tiene las siguientes ventajas: no es el paquete en sí el que se almacena en la caché HTTP, sino sus componentes; la compilación y ejecución de JavaScript comienza sin esperar a que el paquete se descargue por completo; Se permite incluir recursos adicionales como CSS e imágenes, que en el paquete web deberían codificarse en forma de cadenas de JavaScript.
  • Es posible definir una aplicación PWA como controlador de ciertos tipos MIME y extensiones de archivo. Después de definir un enlace a través del campo file_handlers en el manifiesto, la aplicación recibirá un evento especial cuando el usuario intente abrir un archivo asociado con la aplicación.
  • Se agregó un nuevo atributo inerte que le permite marcar parte del árbol DOM como "inactivo". Para los nodos DOM en este estado, la selección de texto y los controladores de desplazamiento del puntero están deshabilitados, es decir. Los eventos de puntero y las propiedades CSS seleccionadas por el usuario siempre están configuradas en "ninguna". Si un nodo se puede editar, en modo inerte deja de ser editable.
  • Se agregó la API de navegación, que permite a las aplicaciones web interceptar operaciones de navegación de ventanas, iniciar la navegación y analizar el historial de acciones con la aplicación. La API proporciona una alternativa a las propiedades window.history y window.location, optimizada para aplicaciones web de una sola página.
  • Se ha propuesto una nueva bandera, "hasta que se encuentre", para el atributo "oculto", que hace que el elemento pueda buscarse en la página y desplazarse mediante una máscara de texto. Por ejemplo, puede agregar texto oculto a una página, cuyo contenido se encontrará en las búsquedas locales.
  • En la API WebHID, diseñada para el acceso de bajo nivel a dispositivos HID (dispositivos de interfaz humana, teclados, ratones, gamepads, paneles táctiles) y para organizar el trabajo sin la presencia de controladores específicos en el sistema, se ha agregado la propiedad exclusionFilters al requestDevice( ) objeto, que le permite excluir ciertos dispositivos cuando el navegador muestra una lista de dispositivos disponibles. Por ejemplo, puede excluir ID de dispositivos que tengan problemas conocidos.
  • Está prohibido mostrar un formulario de pago mediante una llamada a PaymentRequest.show() sin una acción explícita del usuario, por ejemplo, hacer clic en un elemento asociado con el controlador.
  • Se ha suspendido el soporte para una implementación alternativa del protocolo SDP (Protocolo de descripción de sesión) utilizado para establecer una sesión en WebRTC. Chrome ofrecía dos opciones de SDP: unificada con otros navegadores y específica de Chrome. A partir de ahora sólo queda la opción portátil.
  • Se han realizado mejoras en las herramientas para desarrolladores web. Se agregaron botones al panel Estilos para simular el uso de un tema oscuro y claro. Se ha reforzado la protección de la pestaña Vista previa en el modo de inspección de red (la aplicación de la Política de seguridad de contenido está habilitada). El depurador implementa la terminación del script para recargar los puntos de interrupción. Se ha propuesto una implementación preliminar del nuevo panel "Performance Insights", que permite analizar el rendimiento de determinadas operaciones en la página.
    Chrome Versión 102

Además de las innovaciones y correcciones de errores, la nueva versión elimina 32 vulnerabilidades. Muchas de las vulnerabilidades se identificaron como resultado de pruebas automatizadas utilizando las herramientas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer y AFL. A uno de los problemas (CVE-2022-1853) se le ha asignado un nivel crítico de peligro, lo que implica la capacidad de eludir todos los niveles de protección del navegador y ejecutar código en el sistema fuera del entorno sandbox. Los detalles sobre esta vulnerabilidad aún no se han revelado; solo se sabe que se debe al acceso a un bloque de memoria liberado (uso después de la liberación) en la implementación de la API de base de datos indexada.

Como parte del programa de recompensas en efectivo por descubrir vulnerabilidades para la versión actual, Google pagó 24 premios por valor de 65600 dólares (un premio de 10000 dólares, un premio de 7500 dólares, dos premios de 7000 dólares, tres premios de 5000 dólares, cuatro premios de 3000 dólares, dos premios de 2000 dólares, dos premios de 1000 dólares y dos Bonos de $500). Aún no se ha determinado el tamaño de las 7 recompensas.

Fuente: opennet.ru

Añadir un comentario