谷歌週二更新了Chrome瀏覽器至版本67.0.3396.62,修補了34個漏洞,並增加了對名為WebAuthn的憑證管理API的支持。未來幾天內,Windows、Mac和Linux平臺將提供更新。
最值得關注的是,此次瀏覽器更新有針對幽靈漏洞的緩解措施。該修復包括一個名為站點隔離的附加功能,它基本分離了不同標籤之間的流程,因此,就算一個標籤崩潰,其他標籤也將繼續工作。這還可以減少類似幽靈漏洞的側信道CPU漏洞,因為它可以減少暴露於側信道攻擊的數據量。Chrome在其安全發佈版中說:“我們將繼續在Chrome 67的穩定人群中推廣站點隔離。”“網站隔離提高了Chrome的安全性,並有助於降低幽靈漏洞帶來的風險。”
Chrome 67所修復的漏洞有九個級別。其中之一是Web實時通信(WebRTC)中的越界內存訪問Bug(CVE-2018-6130),這是一個開源項目,通過簡單的API為Web瀏覽器提供實時通信。Google還修復了開源圖形庫Skia(CVE-2018-6126)中的堆緩衝區溢出問題,WebUSB API中過度寬鬆的策略Bug(CVE-2018-6125),該漏洞提供了將USB設備服務公開給網頁的方法。以下是評級較高的漏洞的完整列表。
CVE-2018-6123: Use after free in Blink.
CVE-2018-6124: Type confusion in Blink.
CVE-2018-6125: Overly permissive policy in WebUSB.
CVE-2018-6126: Heap buffer overflow in Skia.
CVE-2018-6127: Use after free in indexedDB.
CVE-2018-6128: uXSS in Chrome on iOS.
CVE-2018-6129: Out of bounds memory access in WebRTC.
CVE-2018-6130: Out of bounds memory access in WebRTC.
CVE-2018-6131: Incorrect mutability protection in WebAssembly.
Google更新的一部分還包括將 WebAuthn API引入Chrome 67,從而允許用戶能夠使用其他方法登錄其帳戶,例如使用指紋讀取器,虹膜掃描或面部識別等生物識別選項。幾周前,Mozilla也將這一功能打包到Firefox 60中。
最後,Chrome的最新版本已棄用瀏覽器對HTTP公鑰固定的支持, 而採用更靈活的Expect-CT標頭解決方案。這一計劃於2017年首次宣佈,谷歌認為公鑰固定可能會導致網站管理員面臨難以選擇可靠密鑰設置的風險。適用於PC端的Chrome 67目前可用,Android和Chrome操作系統版本將很快推出。
閱讀更多 黑客視界 的文章