Chrome 84于本周在稳定版中发布,共提供38个补丁程序,但还进行了其他安全改进,包括推出先前宣布的SameSite cookie更改。
该更改最初于2019年5月宣布,旨在通过仅将cookie设置为SameSite = None来为用户提供更好的防御跨站点请求伪造(CSRF)攻击的保护; 安全在第三方上下文中可用,并且仅在通过安全连接提供服务时可用。
Google从2月份开始发布更改,随Chrome 80一起发布,但由于COVID-19大流行而在4月初中止了这一过程。Chrome 84的发布恢复了该保护的逐步推出。
如5月份所宣布,新的浏览器迭代还改善了用户免受滥用通知的保护。因此,推送滥用通知的网站将被注册到安静的通知UI中,并且该通知不会显示给用户。
而是会弹出谨慎警告,以通知用户有关通知的阻止。当Chrome检测到试图诱骗用户允许侵入性通知的网站时,也会显示警报。
在Chrome 84中,Google还包括对Web OTP(一次性密码)API的支持,该API使浏览器能够检测SMS接收到的传入一次性密码(OTP),并自动填写特定的两因素身份验证(2FA)字段。系统将提示用户允许执行该操作。
该浏览器还删除了对TLS 1.0和TLS 1.1协议的支持,这一举措早已宣布,但由于冠状病毒大流行而推迟了。此外,当HTTPS站点提供来自HTTP资源的文件时,它将显示警告。
Chrome 84还带来了 38个补丁,其中包括26个针对外部安全研究人员报告的漏洞的补丁。
其中最严重的是后台获取中的关键缓冲区溢出问题。中国网络安全公司奇虎360的Leecraso和Guang Gong将该漏洞称为CVE-2020-6510,进行了报告。
Google还解决了其浏览器中的7个高严重性漏洞,包括CVE-2020-6511(内容安全策略中的边信道信息泄漏),CVE-2020-6512(V8中的类型混淆),CVE-2020-6513(堆缓冲区) PDFium中的溢出),CVE-2020-6514(在WebRTC中不适当的实现),CVE-2020-6515(在标签条中自由使用),CVE-2020-6516(CORS中的策略绕过)和CVE-2020- 6517(历史记录中的堆缓冲区溢出)。
外部研究人员(8个中度和10个低严重度)披露的其余漏洞包括:售后使用问题,策略绕过,堆缓冲区溢出,边信道信息泄漏错误,不适当的实现,越界写入,不足策略执行,越界内存访问,类型混淆,数据验证不足以及渐进式Web应用程序(PWA)中的安全性UI不正确。
已更新的浏览器可以在Windows,Mac和Linux计算机上以Chrome 84.0.4147.89的形式下载,并应在接下来的几天或几周内推广给现有用户。