Η Google κυκλοφόρησε το Chrome 84, χθες 14 Ιουλίου 2020 (Stable desktop channel), φέρνοντας πολλές βελτιώσεις ασφαλείας και νέα APIs για προγραμματιστές.
Αυτή η νέα έκδοση δεν περιλαμβάνει πολλές νέες δυνατότητες, αλλά προσφέρει αυξημένη προστασία με ειδοποιήσεις των χρηστών για απάτες, κατάργηση μη ασφαλών πρωτοκόλλων TLS κλπ.
Οι χρήστες desktop Windows, Mac και Linux υπολογιστών μπορούν να πραγματοποιήσουν αναβάθμιση στο Chrome 84 μεταβαίνοντας στις Ρυθμίσεις -> Βοήθεια -> Σχετικά με το Google Chrome. Στη συνέχεια, ο browser θα ελέγξει αυτόματα για τη νέα ενημέρωση και θα την εγκαταστήσει όταν είναι διαθέσιμη.
Κατάργηση των πρωτοκόλλων TLS 1.0 και 1.1
Σε μια κοινή ανακοίνωση το 2018, η Microsoft, η Google, η Apple και η Mozilla αποφάσισαν την κατάργηση της υποστήριξης για τα πρωτόκολλα επικοινωνίας TLS 1.0 και 1.1, από το 2020.
Το James Webb βρήκε γαλαξία πιο φωτεινό από τα αστέρια του
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
SpaceX: Το Starlink ξεπέρασε τους 4 εκατ. χρήστες
Η Google σχεδίαζε να καταργήσει την υποστήριξη των πρωτοκόλλων στο Chrome 81. Ωστόσο, λόγω της πανδημίας του COVID-19, η κατάργηση των πρωτοκόλλων καθυστέρησε, ώστε οι χρήστες να μπορούν να έχουν πρόσβαση σε sites υγείας και κυβερνήσεων που χρησιμοποιούσαν παλαιότερα πιστοποιητικά.
Με το Chrome 84, η Google καταργεί τώρα την υποστήριξη των TLS 1.0 και 1.1.
Όταν οι χρήστες αποκτούν πρόσβαση σε ένα site, που χρησιμοποιεί αυτά τα παλιά πιστοποιητικά, θα βλέπουν μια ειδοποίηση που λέει ότι “Η σύνδεσή σας δεν είναι πλήρως ασφαλής”.
Οι χρήστες του Chrome Enterprise μπορούν να ενεργοποιήσουν την υποστήριξη για TLS 1.0 και 1.1 έως τον Ιανουάριο του 2021.
Το Chrome 84 προειδοποιεί για λήψεις μικτού περιεχομένου
Τον Απρίλιο του 2019, η Google είχε πει ότι σχεδίαζε να μπλοκάρει τις λήψεις μικτού περιεχομένου (αρχεία που παραδίδονται μέσω μη ασφαλούς σύνδεσης HTTP, ενώ αρχικά ξεκινούν από sites HTTPS).
Σε προηγούμενες εκδόσεις του Google Chrome, η Google εμφάνιζε σφάλμα κατά την έναρξη αυτών των τύπων λήψεων.
Στο Chrome 84, θα εμφανίζεται μια προειδοποίηση όταν ξεκινά μια λήψη μικτού περιεχομένου, η οποία θα αναφέρει ότι “δεν μπορεί να γίνει ασφαλής λήψη” του αρχείου.
Αποκλεισμός ειδοποιήσεων από sites απάτης
Πολλά κακόβουλα sites εμφανίζουν ειδοποιήσεις και προσπαθούν να εξαπατήσουν τους χρήστες ώστε να κάνουν εγγραφή.
Μόλις ένας χρήστης αποδεχτεί αυτές τις ειδοποιήσεις, θα βομβαρδιστεί με ανεπιθύμητο περιεχόμενο για sites γνωριμιών, ψεύτικα δώρα, κακόβουλες επεκτάσεις Chrome ακόμη και κακόβουλο λογισμικό.
Στο Chrome 84, θα εμφανίζεται μια προειδοποίηση γι΄αυτές τις κακόβουλες ειδοποιήσεις.
Κυκλοφόρησαν νέα APIs για προγραμματιστές
Το Chrome 84 διαθέτει πολλά νέα API που επιτρέπουν στους προγραμματιστές να αλληλεπιδρούν με το λειτουργικό σύστημα σε μεγαλύτερο βαθμό και να αυξάνουν την απόδοση κατά την περιήγηση. Ένα από αυτά είναι το QuicTransport API.
QuicTransport API
Το API του QuicTransport θα επιτρέπει στις web εφαρμογές να συνδέονται με servers χρησιμοποιώντας τη χαμηλή απόδοση και την αμφίδρομη μετάδοση του πρωτοκόλλου QUIC.
Αυτό το πρωτόκολλο επιτρέπει στις εφαρμογές να στέλνουν και να λαμβάνουν δεδομένα με αξιόπιστο και μη τρόπο χρησιμοποιώντας πακέτα UDP.
Το low-latency επιτρέπει στους προγραμματιστές να δημιουργούν αμφίδρομα tunnels μεταξύ μιας web εφαρμογής και ενός server, με αυξημένη απόδοση.
Chrome 84: Η νέα έκδοση διορθώνει 38 ευπάθειες
Η έκδοση Chrome 84 επιδιορθώνει, επίσης, 38 ευπάθειες ασφαλείας:
Rating | CVE ID | Description |
Critical | CVE-2020-6510 | Heap buffer overflow in background fetch. Reported by Leecraso and Guang Gong of 360 Alpha Lab working with 360 BugCloud on 2020-07-08 |
High | CVE-2020-6511 | Side-channel information leakage in content security policy. Reported by Mikhail Oblozhikhin on 2020-04-24 |
High | CVE-2020-6512 | Type Confusion in V8. Reported by nocma, leogan, cheneyxu of WeChat Open Platform Security Team on 2020-05-20 |
High | CVE-2020-6513 | Heap buffer overflow in PDFium. Reported by Aleksandar Nikolic of Cisco Talos on 2020-06-04 |
High | CVE-2020-6514 | Inappropriate implementation in WebRTC. Reported by Natalie Silvanovich of Google Project Zero on 2020-04-30 |
High | CVE-2020-6515 | Use after free in tab strip. Reported by DDV_UA on 2020-05-14 |
High | CVE-2020-6516 | Policy bypass in CORS. Reported by Yongke Wang of Tencent’s Xuanwu Lab (xlab.tencent.com) on 2020-06-08 |
High | CVE-2020-6517 | Heap buffer overflow in history. Reported by ZeKai Wu (@hellowuzekai) of Tencent Security Xuanwu Lab on 2020-06-16 |
Medium | CVE-2020-6518 | Use after free in developer tools. Reported by David Erceg on 2019-07-20 |
Medium | CVE-2020-6519 | Policy bypass in CSP. Reported by Gal Weizman (@WeizmanGal) of PerimeterX on 2020-03-25 |
Medium | CVE-2020-6520 | Heap buffer overflow in Skia. Reported by Zhen Zhou of NSFOCUS Security Team on 2020-06-08 |
Medium | CVE-2020-6521 | Side-channel information leakage in autofill. Reported by Xu Lin (University of Illinois at Chicago), Panagiotis Ilia (University of Illinois at Chicago), Jason Polakis (University of Illinois at Chicago) on 2020-04-27 |
Medium | CVE-2020-6522 | Inappropriate implementation in external protocol handlers. Reported by Eric Lawrence of Microsoft on 2020-02-13 |
Medium | CVE-2020-6523 | Out of bounds write in Skia. Reported by Liu Wei and Wu Zekai of Tencent Security Xuanwu Lab on 2020-05-08 |
Medium | CVE-2020-6524 | Heap buffer overflow in WebAudio. Reported by Sung Ta (@Mipu94) of SEFCOM Lab, Arizona State University on 2020-05-12 |
Medium | CVE-2020-6525 | Heap buffer overflow in Skia. Reported by Zhen Zhou of NSFOCUS Security Team on 2020-06-05 |
Low | CVE-2020-6526 | Inappropriate implementation in iframe sandbox. Reported by Jonathan Kingston on 2020-04-24 |
Low | CVE-2020-6527 | Insufficient policy enforcement in CSP. Reported by Zhong Zhaochen of andsecurity.cn on 2019-08-10 |
Low | CVE-2020-6528 | Incorrect security UI in basic auth. Reported by Rayyan Bijoora on 2020-03-22 |
Low | CVE-2020-6529 | Inappropriate implementation in WebRTC. Reported by kaustubhvats7 on 2019-06-26 |
Low | CVE-2020-6530 | Out of bounds memory access in developer tools. Reported by myvyang on 2019-10-21 |
Low | CVE-2020-6531 | Side-channel information leakage in scroll to text. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2020-01-17 |
Low | CVE-2020-6533 | Type Confusion in V8. Reported by Avihay Cohen @ SeraphicAlgorithms on 2020-04-11 |
Low | CVE-2020-6534 | Heap buffer overflow in WebRTC. Reported by Anonymous on 2020-04-20 |
Low | CVE-2020-6535 | Insufficient data validation in WebUI. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2020-04-22 |
Low | CVE-2020-6536 | Incorrect security UI in PWAs. Reported by Zhiyang Zeng of Tencent security platform department on 2020-05-09 |