Google釋出Chrome 84,修補38個安全漏洞,正式移除對TLS 1.0/1.1的支援
Google在7月14日釋出Chrome 84穩定版,該版本修補了38個安全漏洞,也正式移除了對TLS 1.0/1.1的支援,但新增App圖示捷徑(App Icon Shortcuts)、離線內容索引Content indexing API,以及可防止螢幕睡眠的Wake lock API等新功能。Chrome 84預計於未來幾天就會陸續部署到Windows、Mac與Linux等平臺。
Google從2019年12月問世的Chrome 79開始,就不推薦網站使用TLS (Transport Layer Security) 1.0及1.1版的網頁加密驗證協定,原本預計要在今年4月發表的Chrome 81完全移除對TLS 1.0/1.1版的支援,但考量到網站可能正在應對武漢肺炎(COVID-19)疫情而無瑕兼顧,因而它延後到本周釋出的Chrome 84。
Chrome安全團隊表示,TLS 1.0/1.1所仰賴的MD5及SHA-1加密演算法不但都已被破解,而且也含有其它漏洞,10年前就發表的TLS 1.2則已修補相關漏洞並受到廣泛的採用。
因此,自Chrome 84開始,用戶只要造訪依舊採用TLS 1.0/1.1網站,Chrome就會出現插入式的全頁面警告。
而App圖示捷徑允許使用者直接在Chrome中點選程式的圖示,就能直接啟用該程式的多種功能,像是在Twitter上撰寫貼文、傳送訊息或檢視通知等。
Wake lock API則可用來防止使用者正在參考網頁上的內容時,螢幕忽然變暗或鎖住,根據專門提供食譜並銷售食材的Betty Crocker網站的測試,導入Wake lock API讓該站使用者的購買意願提高了300%。至於Content indexing API則是用來提醒使用者,站上有些內容可以下載以供離線使用。
在Chrome 84此次修補的38個安全漏洞中,只有一個被列為重大(Critical)等級,那是由360 Alpha Lab與360 BugCloud 共同揭露的CVE-2020-6510,會在Chrome處理不可靠的HTML內容時出現邊界錯誤,形成堆積緩衝區溢位漏洞;駭客可打造一個特製的網頁並誘導使用者造訪來開採該漏洞,成功的開採將允許駭客自遠端執行任意程式。
文章來源:https://ithome.com.tw/news/138842