谷歌周二更新了Chrome浏览器至版本67.0.3396.62,修补了34个漏洞,并增加了对名为WebAuthn的凭证管理API的支持。未来几天内,Windows、Mac和Linux平台将提供更新。
最值得关注的是,此次浏览器更新有针对幽灵漏洞的缓解措施。该修复包括一个名为站点隔离的附加功能,它基本分离了不同标签之间的流程,因此,就算一个标签崩溃,其他标签也将继续工作。这还可以减少类似幽灵漏洞的侧信道CPU漏洞,因为它可以减少暴露于侧信道攻击的数据量。Chrome在其安全发布版中说:“我们将继续在Chrome 67的稳定人群中推广站点隔离。”“网站隔离提高了Chrome的安全性,并有助于降低幽灵漏洞带来的风险。”
Chrome 67所修复的漏洞有九个级别。其中之一是Web实时通信(WebRTC)中的越界内存访问Bug(CVE-2018-6130),这是一个开源项目,通过简单的API为Web浏览器提供实时通信。Google还修复了开源图形库Skia(CVE-2018-6126)中的堆缓冲区溢出问题,WebUSB API中过度宽松的策略Bug(CVE-2018-6125),该漏洞提供了将USB设备服务公开给网页的方法。以下是评级较高的漏洞的完整列表。
CVE-2018-6123: Use after free in Blink.
CVE-2018-6124: Type confusion in Blink.
CVE-2018-6125: Overly permissive policy in WebUSB.
CVE-2018-6126: Heap buffer overflow in Skia.
CVE-2018-6127: Use after free in indexedDB.
CVE-2018-6128: uXSS in Chrome on iOS.
CVE-2018-6129: Out of bounds memory access in WebRTC.
CVE-2018-6130: Out of bounds memory access in WebRTC.
CVE-2018-6131: Incorrect mutability protection in WebAssembly.
Google更新的一部分还包括将 WebAuthn API引入Chrome 67,从而允许用户能够使用其他方法登录其帐户,例如使用指纹读取器,虹膜扫描或面部识别等生物识别选项。几周前,Mozilla也将这一功能打包到Firefox 60中。
最后,Chrome的最新版本已弃用浏览器对HTTP公钥固定的支持, 而采用更灵活的Expect-CT标头解决方案。这一计划于2017年首次宣布,谷歌认为公钥固定可能会导致网站管理员面临难以选择可靠密钥设置的风险。适用于PC端的Chrome 67目前可用,Android和Chrome操作系统版本将很快推出。