Se dio a conocer el lanzamiento de la nueva versión del popular navegador web «Chrome 127», la cual introduce innovaciones, entre las cuales se destacan las mejoras en la protección, mejoras para la versión de Android y correcciones de errores, eliminando un total de 24 vulnerabilidades.
De los problemas identificados, 5 se consideran de alta gravedad y ninguna de ellas se considera como crítica o que permitan eludir todos los niveles de protección del navegador y ejecutar código fuera del entorno sandbox. En el marco del programa de recompensas por descubrir vulnerabilidades, Google ha otorgado 16 premios por un total de 47,500 dólares.
Principales novedades de Chrome 127
En esta nueva versión que se presenta de Chrome 127, la función «HTTPS-First» está habilitada por defecto en el modo incógnito, redirigiendo automáticamente las solicitudes HTTP a HTTPS. Si un sitio no admite HTTPS, se recurre a HTTP si hay problemas con la solicitud HTTPS o los certificados. Se muestra una advertencia al intentar abrir un sitio mediante HTTP.
En el Chrome Root Store, se ha decidido no confiar en la autoridad de certificación Entrust debido a múltiples incumplimientos de requisitos, como retrasos en la revocación de certificados y emisión incorrecta de certificados TLS de nivel EV (Extended Validation). Chrome no confiará en los certificados TLS emitidos por Entrust después del 31 de octubre de 2024, aunque los certificados anteriores seguirán siendo aceptados.
Además de ello, se está eliminando gradualmente la versión dos del manifiesto de Chrome, que define las capacidades y recursos de las extensiones usando la API WebExtensions. La migración completa a la versión tres del manifiesto está programada para junio de 2025.
Otra de las novedades que presenta Chrome 127, es en la protección avanzada del navegador (Navegación segura > Protección mejorada), al habilitarla se envía telemetría adicional a los servidores de Google sobre las páginas que usan API Vibration, control total del mouse (PointerLock) y teclado. Si la página está en la lista negra, se muestra una advertencia y se desactivan las API marcadas.
También se destaca que se ha mejorado el escaneo de archivos descargados en el modo de protección mejorada del navegador, incluyendo el envío de archivos sospechosos a Google para detectar virus y malware. Para archivos cifrados descargados (.zip, .7z, .rar), el navegador solicitará una contraseña para descifrarlos y enviarlos a Google para verificación. El usuario puede rechazar la verificación o proporcionar la contraseña.
En el modo de navegación segura estándar, se solicitará una contraseña, pero solo se enviarán metadatos y hashes de los archivos a Google para su verificación. Se implementaron advertencias más visibles sobre la descarga de archivos peligrosos, ahora ubicadas debajo del panel superior en lugar del inferior.
En la versión para Android, ahora se ofrece una interfaz simplificada para vincular una cuenta de Google y sincronizar datos como contraseñas y marcadores. La sincronización ahora está integrada con el inicio de sesión de la cuenta y ya no es una opción separada en la configuración.
Tambien la interfaz de gestión de contraseñas ha sido actualizada. Los usuarios conectados a su cuenta de Google, pero sin sincronización activada, pueden guardar y utilizar contraseñas vinculadas a su cuenta de Google.
De los demás cambios que se destacan:
- Se ha propuesto la implementación inicial de la especificación Private Network Access, que limita la descarga de recursos desde sitios públicos a hosts en redes internas
- En el modo «Pruebas de origen», se ha implementado un bloqueo experimental de acceso a la IP 0.0.0.0, ya que puede usarse para evitar el bloqueo de acceso a localhost en Linux y macOS.
- Se agregó la configuración «Pantalla completa automática» (chrome://settings/content/automaticFullScreen), que permite a los sitios habilitar el modo de pantalla completa automáticamente sin confirmación del usuario y mostrar cuadros de diálogo sin salir del modo de pantalla completa. Esta configuración está deshabilitada por defecto y puede activarse para sitios y aplicaciones web individuales.
- La API de enrutamiento estático de Service Worker ha añadido la capacidad de usar el operador booleano «no» para invertir condiciones de coincidencia de consultas.
- Ahora se permite la transmisión de eventos de activación generados cuando el usuario interactúa con el contenido en una ventana en modo imagen en imagen hacia la ventana principal.
- Se han agregado enlaces a las posiciones correspondientes en el documento al visualizar estilos CSS y HTML.
Nuevos ajustes preestablecidos en el panel de inspección de actividad de la red para simular la velocidad de acceso «Fast 4G».
El panel de análisis de rendimiento durante el seguimiento ahora proporciona información sobre eventos de envío y recepción de mensajes a través de WebSocket.
Interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
¿Como instalar Google Chrome en Linux?
Si estás interesado en poder instalar esta nueva versión de este navegador web y aún no lo tienes instalado, puedes descargar el instalador que se ofrece en paquetes deb y rpm en su sitio web oficial.
El enlace es este.
Continúar leyendo...