该更改最初于2019年5月宣布，旨在通过仅将cookie设置为SameSite = None来为用户提供更好的防御跨站点请求伪造（CSRF）攻击的保护; 安全在第三方上下文中可用，并且仅在通过安全连接提供服务时可用。

Google从2月份开始发布更改，随Chrome 80一起发布，但由于COVID-19大流行而在4月初中止了这一过程。Chrome 84的发布恢复了该保护的逐步推出。

如5月份所宣布，新的浏览器迭代还改善了用户免受滥用通知的保护。因此，推送滥用通知的网站将被注册到安静的通知UI中，并且该通知不会显示给用户。

而是会弹出谨慎警告，以通知用户有关通知的阻止。当Chrome检测到试图诱骗用户允许侵入性通知的网站时，也会显示警报。

在Chrome 84中，Google还包括对Web OTP（一次性密码）API的支持，该API使浏览器能够检测SMS接收到的传入一次性密码（OTP），并自动填写特定的两因素身份验证（2FA）字段。系统将提示用户允许执行该操作。

该浏览器还删除了对TLS 1.0和TLS 1.1协议的支持，这一举措早已宣布，但由于冠状病毒大流行而推迟了。此外，当HTTPS站点提供来自HTTP资源的文件时，它将显示警告。

Chrome 84还带来了 38个补丁，其中包括26个针对外部安全研究人员报告的漏洞的补丁。

其中最严重的是后台获取中的关键缓冲区溢出问题。中国网络安全公司奇虎360的Leecraso和Guang Gong将该漏洞称为CVE-2020-6510，进行了报告。

Google还解决了其浏览器中的7个高严重性漏洞，包括CVE-2020-6511（内容安全策略中的边信道信息泄漏），CVE-2020-6512（V8中的类型混淆），CVE-2020-6513（堆缓冲区） PDFium中的溢出），CVE-2020-6514（在WebRTC中不适当的实现），CVE-2020-6515（在标签条中自由使用），CVE-2020-6516（CORS中的策略绕过）和CVE-2020- 6517（历史记录中的堆缓冲区溢出）。

外部研究人员（8个中度和10个低严重度）披露的其余漏洞包括：售后使用问题，策略绕过，堆缓冲区溢出，边信道信息泄漏错误，不适当的实现，越界写入，不足策略执行，越界内存访问，类型混淆，数据验证不足以及渐进式Web应用程序（PWA）中的安全性UI不正确。

已更新的浏览器可以在Windows，Mac和Linux计算机上以Chrome 84.0.4147.89的形式下载，并应在接下来的几天或几周内推广给现有用户。

原文来自：http://www.fangyuba.com/news/dynamic/1210.htm

本文地址：https://www.linuxprobe.com/chrome-84-bug.html编辑：薛鹏旭，审核员：清蒸github

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/