Google Chrome’un 14 Temmuz 2020 tarihi itibarıyla yayına aldığı yeni versiyonu birçok güvenlik güncellemesi ve geliştiriciler için yeni API özellikleri ile kullanıma sunuldu.
Yeni sürüm zararlı sitelerle ilgili bildirimler, güvenli olmayan TLS protokollerinin kullanımdan kaldırılması, “mixed-content” içeriklerin indirilmesinin kontrol altına alınması gibi birçok yeni güvenlik özelliği ile beraber yayına alındı.
Chrome’un 84 versiyonunun kararlı sürüme yükseltilmesinden sonra Chrome 85’in beta sürüme, 86’nın ise “Canary” sürüme yükseltilmesi bekleniyor.
Windows, Linux ve Mac kullanıcıları Ayarlar menüsünden “Chrome Hakkında” bölümüne giderek tarayıcılarını son sürüme güncelleyebilirler.
Güncelleme ile birlikte gelen özellikler aşağıdaki gibidir:
TLS 1.0 ve 1.1 desteği sonlandırıldı
2018 yılında yapılan ortak duyuruda Microsoft, Google, Apple ve Mozilla TLS protokolünün 1.0 ve 1.1 versiyonları için desteğin sonlandırılacağını belirtmişti.
Google bu protokollerle ilgili desteğin sonlandırılmasını Chrome 81 versiyonu için planlamıştı ama Koronavirüs pandemi sürecinin araya girmesi ve bazı sağlık kuruluşlarının hala eski sertifikalar kullanıyor olabileceği düşünülerek desteğin sonlandırılması planı geciktirildi. Şimdi Chrome 84 verisyonu ile birlikte TLS 1.0 ve 1.1 desteği tamamen sonlandırılıyor.
Kullanıcılar eski sürüm sertifikaya sahip bir sayfaya erişmeye alıştıkları zaman aşağıdaki gibi bir uyarı mesajı ile karşılaşacaklar.
Chrome Enterprise kullanıcıları Chrome group policy özelliklerini kullanarak Ocak 2021’e kadar TLS 1.0 ve TLS 1.1 desteğini devam ettirebilirler.
Chrome 84 “Mixed Content” içerikten dosya indirilmesi esnasında uyaracak
“Mixed content” kısaca https erişimi olan bir websitesi içinde aynı şekilde http protokolü ile çağrılan herhangi bir site içi kaynağın olması durumudur. Google daha önce Nisan ayında bu şekilde “mixed content” içerikleri bloklayacağını duyurmuştu.
Chrome’un daha önceki versiyonlarında bu tip indirmelerin gerekleştiği durumlarda sadece browser geliştirici araçları “console” bölümünde görülebilen uyarılar gösteriyordu. Bu sürümle birlikte artık “mixed content” içeriklerden dosya indirilmesi sırasında görsel uyarı mesajları görülebilecek.
Dolandırıcılık sitelerinden gelen bildirim uyarıları bloklanacak
Dolandırıcık veya spam içeriklere sahip sitelerden gelen bildirim gönderme istekleri sıklıkla yaşanan ve son zamanlarda artış gösteren bir durum. Kullanıcılar bu site bildirimlerine abone olduktan sonra bir bildirim bombardımanına maruz kalıyorlar. Chrome’un yeni sürümde bu tip sitelerle ilgili uyarı gösteren bir iyileştirme de bulunuyor.
Geliştiricier için yeni API’lar
Chrome 84 sürümü geliştiricilerin işletim sistemi etkileşim kurmasını sağlayan ve tarayıcı performansının artmasına katkıda bulunan bir çok yeni API ile beraber geldi.
Raw Clipboard Access API
Raw Clipboard Access, Web uygulamaları ile onaylanmış dosya formatlarını kullanan işletim sistemi uygulamaları arasında kopyala / yapıştır yöntemiyle veri transferini sağlayan alt seviye bir API’dır. Mevcutta web uygulamaları küçük bir grup dosya formatı için kopyala/yapıştır özelliği ile veri transferini destekliyor. Bu API ile TIFF formatı gibi web standartlarına uygun olmayan dosya formatlarının da kopyala / yapıştır yöntemi ile veri transferi sağlanabilecek.
QuicTransport API
QuicTransport API, web uygulamaların sunuculara UDP benzeri davranış gösteren iki yönlü bir protokolle bağlanmasını sağlayıp bağlantı sürelerini kısaltan alt seviye bir API’dır.
Screen Wave Lock API
Screen Wave Lock API, cihazların ekran karartmasını veya kilitlemesini engelleyen bir API olarak 84 sürümü tarafından sunuldu. Bazı uygulamaların işlerini tamamlaması için cihazlar kilit durumuna geçse de ekran erişimlerini devam ettirmeleri gerekiyor. Bu API sayesinde ekran kilitlenmesini engelleyerek uygulamaların çalışmaya devam etmesini sağlıyor.
Chrome 84 versiyonu ile beraber 38 güvenlik açığı da kapatıldı. Kapatılan güvenlik açıklarının listesi de aşağıdaki gibidir:
Rating | CVE ID | Description |
Critical | CVE-2020-6510 | Heap buffer overflow in background fetch. Reported by Leecraso and Guang Gong of 360 Alpha Lab working with 360 BugCloud on 2020-07-08 |
High | CVE-2020-6511 | Side-channel information leakage in content security policy. Reported by Mikhail Oblozhikhin on 2020-04-24 |
High | CVE-2020-6512 | Type Confusion in V8. Reported by nocma, leogan, cheneyxu of WeChat Open Platform Security Team on 2020-05-20 |
High | CVE-2020-6513 | Heap buffer overflow in PDFium. Reported by Aleksandar Nikolic of Cisco Talos on 2020-06-04 |
High | CVE-2020-6514 | Inappropriate implementation in WebRTC. Reported by Natalie Silvanovich of Google Project Zero on 2020-04-30 |
High | CVE-2020-6515 | Use after free in tab strip. Reported by DDV_UA on 2020-05-14 |
High | CVE-2020-6516 | Policy bypass in CORS. Reported by Yongke Wang of Tencent’s Xuanwu Lab (xlab.tencent.com) on 2020-06-08 |
High | CVE-2020-6517 | Heap buffer overflow in history. Reported by ZeKai Wu (@hellowuzekai) of Tencent Security Xuanwu Lab on 2020-06-16 |
Medium | CVE-2020-6518 | Use after free in developer tools. Reported by David Erceg on 2019-07-20 |
Medium | CVE-2020-6519 | Policy bypass in CSP. Reported by Gal Weizman (@WeizmanGal) of PerimeterX on 2020-03-25 |
Medium | CVE-2020-6520 | Heap buffer overflow in Skia. Reported by Zhen Zhou of NSFOCUS Security Team on 2020-06-08 |
Medium | CVE-2020-6521 | Side-channel information leakage in autofill. Reported by Xu Lin (University of Illinois at Chicago), Panagiotis Ilia (University of Illinois at Chicago), Jason Polakis (University of Illinois at Chicago) on 2020-04-27 |
Medium | CVE-2020-6522 | Inappropriate implementation in external protocol handlers. Reported by Eric Lawrence of Microsoft on 2020-02-13 |
Medium | CVE-2020-6523 | Out of bounds write in Skia. Reported by Liu Wei and Wu Zekai of Tencent Security Xuanwu Lab on 2020-05-08 |
Medium | CVE-2020-6524 | Heap buffer overflow in WebAudio. Reported by Sung Ta (@Mipu94) of SEFCOM Lab, Arizona State University on 2020-05-12 |
Medium | CVE-2020-6525 | Heap buffer overflow in Skia. Reported by Zhen Zhou of NSFOCUS Security Team on 2020-06-05 |
Low | CVE-2020-6526 | Inappropriate implementation in iframe sandbox. Reported by Jonathan Kingston on 2020-04-24 |
Low | CVE-2020-6527 | Insufficient policy enforcement in CSP. Reported by Zhong Zhaochen of andsecurity.cn on 2019-08-10 |
Low | CVE-2020-6528 | Incorrect security UI in basic auth. Reported by Rayyan Bijoora on 2020-03-22 |
Low | CVE-2020-6529 | Inappropriate implementation in WebRTC. Reported by kaustubhvats7 on 2019-06-26 |
Low | CVE-2020-6530 | Out of bounds memory access in developer tools. Reported by myvyang on 2019-10-21 |
Low | CVE-2020-6531 | Side-channel information leakage in scroll to text. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2020-01-17 |
Low | CVE-2020-6533 | Type Confusion in V8. Reported by Avihay Cohen @ SeraphicAlgorithms on 2020-04-11 |
Low | CVE-2020-6534 | Heap buffer overflow in WebRTC. Reported by Anonymous on 2020-04-20 |
Low | CVE-2020-6535 | Insufficient data validation in WebUI. Reported by Jun Kokatsu, Microsoft Browser Vulnerability Research on 2020-04-22 |
Low | CVE-2020-6536 | Incorrect security UI in PWAs. Reported by Zhiyang Zeng of Tencent security platform department on 2020-05-09 |