行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Chrome 84带来38个安全补丁,恢复CSRF保护部署
2020-07-16 12:45:47 【

Chrome 84于本周在稳定版中发布,共提供38个补丁程序,但还进行了其他安全改进,包括推出先前宣布的SameSite cookie更改。

该更改最初于2019年5月宣布,旨在通过仅将cookie设置为SameSite = None来为用户提供更好的防御跨站点请求伪造(CSRF)攻击的保护; 安全在第三方上下文中可用,并且仅在通过安全连接提供服务时可用。

Google从2月份开始发布更改,随Chrome 80一起发布,但由于COVID-19大流行而在4月初中止了这一过程Chrome 84的发布恢复了该保护的逐步推出。

5月份宣布,新的浏览器迭代还改善了用户免受滥用通知的保护因此,推送滥用通知的网站将被注册到安静的通知UI中,并且该通知不会显示给用户。

而是会弹出谨慎警告,以通知用户有关通知的阻止。当Chrome检测到试图诱骗用户允许侵入性通知的网站时,也会显示警报。

在Chrome 84中,Google还包括对Web OTP(一次性密码)API的支持,该API使浏览器能够检测SMS接收到的传入一次性密码(OTP),并自动填写特定的两因素身份验证(2FA)字段。系统将提示用户允许执行该操作。

该浏览器还删除了对TLS 1.0和TLS 1.1协议的支持,这一举措早已宣布,由于冠状病毒大流行推迟了。此外,当HTTPS站点提供来自HTTP资源的文件时,它将显示警告。

Chrome 84还带来了 38个补丁,其中包括26个针对外部安全研究人员报告的漏洞的补丁。

其中最严重的是后台获取中的关键缓冲区溢出问题。中国网络安全公司奇虎360的Leecraso和Guang Gong将该漏洞称为CVE-2020-6510,进行了报告。

Google还解决了其浏览器中的7个高严重性漏洞,包括CVE-2020-6511(内容安全策略中的边信道信息泄漏),CVE-2020-6512(V8中的类型混淆),CVE-2020-6513(堆缓冲区) PDFium中的溢出),CVE-2020-6514(在WebRTC中不适当的实现),CVE-2020-6515(在标签条中自由使用),CVE-2020-6516(CORS中的策略绕过)和CVE-2020- 6517(历史记录中的堆缓冲区溢出)。

外部研究人员(8个中度和10个低严重度)披露的其余漏洞包括:售后使用问题,策略绕过,堆缓冲区溢出,边信道信息泄漏错误,不适当的实现,越界写入,不足策略执行,越界内存访问,类型混淆,数据验证不足以及渐进式Web应用程序(PWA)中的安全性UI不正确。

已更新的浏览器可以在Windows,Mac和Linux计算机上以Chrome 84.0.4147.89的形式下载,并应在接下来的几天或几周内推广给现有用户。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇网站服务器的稳定性对网站优化有.. 下一篇服务器和工作站3个区别

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800