Google ha lanzado la versión 142 del navegador web Chrome. También está disponible una versión estable del proyecto de código abierto Chromium, base de Chrome. Chrome se diferencia de Chromium en el uso de los logotipos de Google, un sistema de notificación de fallos, módulos para reproducir contenido de vídeo protegido contra copia (DRM), instalación automática de actualizaciones, aislamiento permanente en entorno aislado (sandbox), aprovisionamiento de claves de la API de Google y la transmisión de parámetros RLZ durante las búsquedas. Para quienes necesiten más tiempo para actualizar, se mantiene una rama estable extendida durante ocho semanas. El próximo lanzamiento, Chrome 143, está previsto para el 2 de diciembre.
Cambios clave en Chrome 142:
- La protección de acceso al sistema local está habilitada al interactuar con sitios web públicos. Al acceder a un sitio web en una red pública o interna (intranet), Direcciones IP Al acceder al sistema local o a la interfaz de bucle invertido (127.0.0.0/8), el navegador mostrará un cuadro de diálogo solicitando confirmación al usuario. Se incluyen los intentos de descarga de recursos, las solicitudes fetch() y las inserciones de iframe. Actualmente, la protección no se aplica a las conexiones mediante WebSockets, WebTransport y WebRTC, pero se añadirá para estas tecnologías más adelante.
Los atacantes aprovechan el acceso a recursos internos para realizar ataques CSRF contra routers, puntos de acceso, impresoras, interfaces web corporativas y otros dispositivos y servicios que solo aceptan solicitudes de la red local. Además, el escaneo de recursos internos puede utilizarse para la identificación indirecta o para recopilar información sobre la red local.
- Se ha introducido una interfaz única y simplificada para vincular una cuenta de Google y sincronizar datos, como contraseñas guardadas y marcadores. La sincronización está integrada con el inicio de sesión y no se presenta como una opción independiente en la configuración. Los usuarios pueden conectar Chrome a su cuenta de Google y usarla para almacenar contraseñas, marcadores, historial de navegación y pestañas. Esta función ya está activa para algunos usuarios y se irá ampliando gradualmente.
- Se utiliza un nuevo modelo de aislamiento de procesos, “Aislamiento de origen”, en el que cada fuente de contenido (origen - un enlace de protocolo, dominio y el puerto, por ejemplo, "https://foo.example.com"), se aísla en un proceso de renderizado independiente. Dado que aumentar la granularidad del aislamiento puede aumentar el consumo de memoria y la carga de la CPU, el nuevo modo de aislamiento solo está habilitado en sistemas con más de 4 GB de RAM. En hardware de bajo consumo, se seguirá utilizando el antiguo método de aislamiento, que aísla todas las fuentes de contenido asociadas a un mismo sitio (por ejemplo, foo.example.com y bar.example.com) en un proceso independiente.
- En los sistemas Windows y macOS que no utilizan la administración centralizada de Chrome, se ha implementado la desactivación automática de los complementos instalados a la fuerza que infringen las políticas menores de la Chrome Web Store. Estas infracciones menores incluyen posibles vulnerabilidades, instalación no autorizada de complementos, manipulación de metadatos, violación de las políticas de datos del usuario y funcionalidad engañosa. Los usuarios pueden restaurar los complementos desactivados si lo desean.
- La versión para Android, al igual que las versiones de escritorio, incluye una advertencia sobre páginas fraudulentas detectadas mediante un modelo de lenguaje avanzado basado en el análisis de contenido. La IA se utiliza en el modo de Navegación Segura Mejorada del navegador. El modelo de IA se ejecuta en el cliente, pero si se detecta contenido sospechoso, se realiza una comprobación adicional en los servidores de Google.
- La implementación del protocolo DTLS (Datagram Transport Layer Security, un análogo de TLS para UDP) utilizado para las conexiones WebRTC incluye el uso de algoritmos de cifrado post-cuánticos.
- El estado de activación, establecido durante la interacción del usuario en una página, ahora se conserva al navegar a otra página del mismo dominio. Conservar la activación simplificará el desarrollo de aplicaciones web de varias páginas y resolverá problemas como el de establecer el foco de entrada cuando el sitio muestra su teclado virtual.
- Se han añadido las pseudoclases CSS ":target-before" y ":target-after" para definir los marcadores anterior y siguiente en relación con la posición de desplazamiento actual (":target-current").
- Los contenedores de estilo (@container) y la función if() ahora admiten la sintaxis de rango definida en la especificación Media Queries Nivel 4, que permite el uso de operadores de comparación matemática y operadores lógicos estándar para definir rangos de valores. Por ejemplo, ahora puede especificar "@container style(--inner-padding > 1em)" y "background-color: if(style(attr(data-columns, type ) > 2): azul claro; si no: blanco);"
- Los elementos `<div>` y `<span>` ahora admiten el atributo `interestfor`. Este atributo permite activar acciones, como mostrar una ventana emergente, cuando el usuario muestra interés en el elemento. El navegador reconoce eventos como mantener el cursor sobre el elemento, pulsar teclas de acceso rápido o mantener pulsada una pantalla táctil como indicadores de interés. Cuando se identifica un elemento con el atributo `interestfor`, el navegador genera un evento de interés (`InterestEvent`).
- Se han implementado mejoras en las herramientas para desarrolladores web. Se ha añadido un botón de inicio rápido para el asistente de IA en la esquina superior derecha. La opción "Preguntar a la IA" del menú contextual se ha renombrado a "Depurar con IA" y se ha ampliado para incluir la capacidad de realizar acciones inmediatas según el contexto. En la consola web y el panel de código, el asistente de IA Gemini ahora puede generar recomendaciones a partir del código.
Las herramientas para desarrolladores web ahora se integran con el Programa para Desarrolladores de Google (GDP). Los desarrolladores pueden acceder a su perfil GDP directamente desde Chrome DevTools y obtener recompensas por completar tareas específicas dentro de esta interfaz.
Además de nuevas funciones y correcciones de errores, la nueva versión soluciona 20 vulnerabilidades. Muchas de ellas se identificaron mediante pruebas automatizadas con AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer y AFL. No se detectaron problemas críticos que permitieran eludir las capas de protección del navegador y ejecutar código fuera del entorno aislado. Como parte del programa de recompensas por vulnerabilidades de esta versión, Google ha establecido 20 recompensas por un total de 130 000 $ (dos de 50 000 $, una de 10 000 $, tres de 3000 $, dos de 2000 $ y tres de 1000 $). El importe de ocho de las recompensas aún no se ha determinado.
Además, se ha identificado una vulnerabilidad sin parchear en el motor Blink que provoca que el navegador se bloquee al ejecutar cierto código JavaScript. Esta vulnerabilidad se debe a problemas de arquitectura en el motor de renderizado relacionados con la falta de un límite de frecuencia en la actualización de la propiedad «document.title». Esta falta de limitación permite que «document.title» se utilice para realizar decenas de millones de cambios en el DOM por segundo. Esto provoca que la interfaz se bloquee en pocos segundos debido al bloqueo del hilo principal y al elevado consumo de memoria. Tras 15-60 segundos, el navegador se bloquea.
Fuente: opennet.ru
