Chrome 84于本周在穩(wěn)定版中發(fā)布����,共提供38個(gè)補(bǔ)丁程序,但還進(jìn)行了其他安全改進(jìn)���,包括推出先前宣布的SameSite cookie更改��。
該更改最初于2019年5月宣布�,旨在通過僅將cookie設(shè)置為SameSite = None來為用戶提供更好的防御跨站點(diǎn)請(qǐng)求偽造(CSRF)攻擊的保護(hù); 安全在第三方上下文中可用���,并且僅在通過安全連接提供服務(wù)時(shí)可用���。
Google從2月份開始發(fā)布更改,隨Chrome 80一起發(fā)布����,但由于COVID-19大流行而在4月初中止了這一過程。Chrome 84的發(fā)布恢復(fù)了該保護(hù)的逐步推出�����。
如5月份所宣布���,新的瀏覽器迭代還改善了用戶免受濫用通知的保護(hù)�����。因此�����,推送濫用通知的網(wǎng)站將被注冊(cè)到安靜的通知UI中���,并且該通知不會(huì)顯示給用戶。
而是會(huì)彈出謹(jǐn)慎警告����,以通知用戶有關(guān)通知的阻止。當(dāng)Chrome檢測(cè)到試圖誘騙用戶允許侵入性通知的網(wǎng)站時(shí)�,也會(huì)顯示警報(bào)。
在Chrome 84中�����,Google還包括對(duì)Web OTP(一次性密碼)API的支持���,該API使瀏覽器能夠檢測(cè)SMS接收到的傳入一次性密碼(OTP)�����,并自動(dòng)填寫特定的兩因素身份驗(yàn)證(2FA)字段����。系統(tǒng)將提示用戶允許執(zhí)行該操作。
該瀏覽器還刪除了對(duì)TLS 1.0和TLS 1.1協(xié)議的支持���,這一舉措早已宣布����,但由于冠狀病毒大流行而推遲了��。此外���,當(dāng)HTTPS站點(diǎn)提供來自HTTP資源的文件時(shí)���,它將顯示警告。
Chrome 84還帶來了 38個(gè)補(bǔ)丁���,其中包括26個(gè)針對(duì)外部安全研究人員報(bào)告的漏洞的補(bǔ)丁�。
其中最嚴(yán)重的是后臺(tái)獲取中的關(guān)鍵緩沖區(qū)溢出問題。中國網(wǎng)絡(luò)安全公司奇虎360的Leecraso和Guang Gong將該漏洞稱為CVE-2020-6510�,進(jìn)行了報(bào)告。
Google還解決了其瀏覽器中的7個(gè)高嚴(yán)重性漏洞���,包括CVE-2020-6511(內(nèi)容安全策略中的邊信道信息泄漏),CVE-2020-6512(V8中的類型混淆)���,CVE-2020-6513(堆緩沖區(qū)) PDFium中的溢出)�,CVE-2020-6514(在WebRTC中不適當(dāng)?shù)膶?shí)現(xiàn))����,CVE-2020-6515(在標(biāo)簽條中自由使用),CVE-2020-6516(CORS中的策略繞過)和CVE-2020- 6517(歷史記錄中的堆緩沖區(qū)溢出)�。
外部研究人員(8個(gè)中度和10個(gè)低嚴(yán)重度)披露的其余漏洞包括:售后使用問題,策略繞過��,堆緩沖區(qū)溢出��,邊信道信息泄漏錯(cuò)誤����,不適當(dāng)?shù)膶?shí)現(xiàn),越界寫入���,不足策略執(zhí)行����,越界內(nèi)存訪問,類型混淆����,數(shù)據(jù)驗(yàn)證不足以及漸進(jìn)式Web應(yīng)用程序(PWA)中的安全性UI不正確。
已更新的瀏覽器可以在Windows�����,Mac和Linux計(jì)算機(jī)上以Chrome 84.0.4147.89的形式下載���,并應(yīng)在接下來的幾天或幾周內(nèi)推廣給現(xiàn)有用戶���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
