گوگل هفتهی گذشته کروم نسخهی ۸۰ را با ۵۶ وصلهی آسیبپذیری و بهبودهای مختلف در زمینهی امنیت کاربر منتشر کرد. کروم ۸۰ برای محافظت بهتر در برابر حملات جعل درخواست بین وبگاهی، یک سیستم طبقهبندی کوکی امن جدید اجرا خواهد کرد که کوکیها بهعنوان SameSite=None تنظیم میشوند. این تغییر که اولین بار در ماه مِه سال ۲۰۱۹ میلادی اعلام شد، قرار است در اواخر ماه جاری اعمال شود که در آن زمان کروم با کوکیهایی که مقدار SamSite مشخص ندارند مانند کوکیهای SameSite=Lax برخورد خواهد کرد. این تغییرات در ابتدا تنها توسط تعداد اندکی از کاربران مشاهده شد.
نسخهی جدید این مرورگر پشتیبانی از FTP را کاهش میدهد، زیرا این پیادهسازی از اتصالات یا پروکسیها پشتیبانی نمیکند و استفاده از آن کم است. گوگل قصد دارد تا FTP را بهطور پیشفرض در نسخهی بعدی کروم غیرفعال کند و بهطور کامل پشتیبانی از آن را در کروم نسخهی ۸۲ متوقف خواهد کرد.
کروم ۸۰ که به همراه نسخهی ۸ موتور جاوااسکریپت منتشر شد، منابع ترکیبی صوتی و تصویری را در HTTPS بهطور خودکار بهروزرسانی میکند و در صورت عدم بارگیری در یک اتصال امن، آنها را مسدود میکند. تصاویر ترکیبی همچنان مجاز به بارگذاری هستند، اما این مرورگر یک هشدار «Not Secure» در omnibox نشان خواهد داد.
همانطور که گوگل در ماه اکتبر سال گذشته اعلام کرد، کروم ۸۱ تصاویر ترکیبی را در HTTPS بهطور خودکار بهروزرسانی خواهد کرد یا در صورت عدم بارگیری در یک اتصال امن، آنها را مسدود خواهد کرد.
گوگل مدتهاست که از پذیرش HTTPS دفاع میکند و بهروزرسانی خودکار محتوای ترکیبی تنها یکی از اقداماتی است که برای سوق دادن صاحبان وبگاه به سمت اتصالهای رمزنگاریشده انجام میدهد.
از ۵۶ وصلهی موجود در نسخهی جدید، ۳۷ مورد آسیبپذیریهایی را رفع میکنند که توسط پژوهشگران خارجی گزارش شدهاند. این آسیبپذیریها شامل ۱۰ مورد با شدت بالا، ۱۷ مورد با شدت متوسط و ۱۰ مورد با شدت متوسط هستند.
مسائل با شدت بالا شامل یک مسألهی سرریز عدد صحیح در جاوااسکریپت (CVE-2020-6381)، type confusion در جاوااسکریپت (CVE-2020-6382)، اشکالهای متعدد در XML (CVE-2019-18197)، پیادهسازی نامناسب در SQLite (CVE-2019-19926)، اعمال سیاست نادرست در حافظه (CVE-2020-6358)، آسیبپذیریهای موجود در SQLite (CVE-2019-19880 و CVE-2019-19925)، نوشتن خارج از محدوده در WebRTC (CVE-2020-6387 و CVE-2020-6389) و دسترسی به حافظهی خارج از محدوده در WebAudio (CVE-2020-6388) و جریانهای ویدئویی (CVE-2020-6390) هستند.
اشکالهای با شدت متوسطی که در کروم ۸۰ رفع شدهاند، شامل اعتبارسنجی نامناسب ورودی غیرقابل اطمینان در Blink و Omnibox؛ اعمال سیاست نامناسب در افزونهها، Blink، AppCache و بارگیریها؛ خواندن خارج از محدوده در جاوااسکریپت و SQLite؛ پیادهسازی نامناسب در Skia، CORS و Blink؛ رابطهای کاربری امنیتی نادرست در اشتراک و Omnibox؛ استفاده پس از آزادسازی در مؤلفهی صدا و دسترسی به حافظهی خارج از محدوده در SQLite هستند.
آسیبپذیریهای با شدت پایینی که در این مرورگر وصله شدند، شامل اعمال سیاستهای نادرست در CORS، navigation و مرور امن؛ پیادهسازیهای نادرست در Omnibox، Blink، جاوااسکریپت و installer؛ اعتبارسنجیهای نامناسب ورودی غیرقابل اطمینان در Omnibox؛ و اعتبارسنجی نامناسب داده در جریانهای ویدئویی هستند.
گوگل در برنامهی پاداش در ازای اشکال خود در مجموع ۴۸ هزار دلار بهخاطر گزارش این آسیبپذیریها به پژوهشگران پاداش داد، اما هنوز مبلغ پاداشی که در ازای برخی از آسیبپذیریهای رفعشده پرداخت کرده، اعلام نکرده است.