谷歌浏览器Google Chrome正式版迎来v90第二个维护版本发布,详细版本号为v90.0.4430.85,上一个正式版v90.0.4430.72发布于4月15日,时隔6天Google又发布了新版Chrome浏览器,本次升级主要是更新了安全修复和稳定性改进及用户体验。
作为市占率最高的浏览器,Chrome成为了众多用户的首选,而现在谷歌也是推出了Chrome 90新版,并且建议用户都去升级。
谷歌于4月14日推出了面向Windows、Mac 和 Linux 等平台的Chrome 90大版本更新,且当时提供了数十项安全修复。然而不到一周后,这款流行的Web浏览器又曝出了多个新的安全隐患,其中包括“V8 中的类型混淆”这个零日漏洞(CVE-2021-21224)。
庆幸的是,在刚刚推出的Chrome 90.0.4430.85更新中,谷歌已经修复了7个安全问题。据悉,V8是谷歌主导的开源高性能 JavaScript 和 WebAssembly 引擎。
Chrome 技术项目经理 Srinivas Sista 在撰写的公告中介绍了五个漏洞:Chrome 90.0.4430.85更新中包含的五个关键修复程序
CVE-2021-21222: V8的堆缓冲区溢出,由奇虎 360 阿尔法实验室于 2021-03-30 报告;
CVE-2021-21223: Mojo 中的整数溢出,由奇虎 360 阿尔法实验室于 2021-04-02 报告;
CVE-2021-21224: V8 中的类型混淆,由 VerSprite Inc. 于 2021-04-05 报告;
CVE-2021-21225: V8 中的越界内存访问,于 2021-04-05 报告;
CVE-2021-21226: 在导航中UAF(Use after Free)漏洞 导航中的内存释放后再使用,于 2021-04-11 报告;
其中最后一个标识符为 CVE-2021-21224 的漏洞即是零日漏洞。Srinivas Sista 在公告中写道:"Google 已了解到有报告指出 CVE-2021-21224 漏洞有被利用的情况“,但并没有分享任何有关该零日漏洞的细节。
不过,根据安全专家在 Twitter 上分享的内容显示,这个远程代码执行漏洞不能被攻击者利用来逃避 Chromium 的沙盒安全功能(一种旨在阻止漏洞在主机上访问文件或执行代码的安全功能)。
该更新将在未来几天陆续推送至用户的设备上,用户也可以手动检查更新及时修复上述问题。
考虑到 Chrome 浏览器不会在用户每次打开时都自动检查和部署更新,谷歌建议大家转到“设置 -> 关于 Chrome”页面来手动执行检查。在自动下载并安装完后,Chrome 会询问是否重新启动应用程序以完成更新。
新版变化
Chrome v90.0.4430.85 正式版(2021-04-21)
blog.chromium.org
blog.google/products/chrome
googlechromereleases.blogspot.com
谷歌浏览器v90正式版主要更新,引入了许多以用户为中心的功能改进,辅以安全性方面的进一步提升。默认向目标网站链接均启用SSL安全传输协议(HTTPS),全新AV1开源视频编码器的技术支持,高清视频占用大幅减小。新增窗口重命名功能,可重命名已打开的多个窗口,可记住窗口的配置,遇到崩溃重启会自动恢复状态。还有WebXR深度API、启用了URL协议设置程序、效果叠加层、以及安全性方面的诸多改进,比如为了防范缓解NAT Slipstream 2.0攻击,而屏蔽封锁了通过554端口的HTTP/HTTPS/FTP服务器访问。
谷歌浏览器v89正式版主要更新,修复了一个零日漏洞,建议用户尽快更新。优化了对WebHID、WebNFC和Web Serial等适用于HID设备API的支持,此外NFC和串行设备也被认为可以投入生产使用。还初步为WebRTC添加了对AV1编码的支持。此外桌面端还带来了Web Share和Web Share Target支持以及其他增强功能。
谷歌浏览器v88正式版主要更新,改进深色主题支持,优化深色模式,覆盖设置、书签、历史、新标签页等更多内部页面的滚动条。停止对FTP的支持,无法使用Chrome作为FTP客户端,不再支持ftp://开头的地址。停止对Mac OS Yosemite的支持,结束对旧版浏览器附加组件的支持,减少请求许可干扰,优化适用于Chrome OS的浅色和深色模式。
安全修复和奖励
Chrome v90.0.4430.85,此更新包括7个安全修复程序。
[$TBD][1194046] High CVE-2021-21222: Heap buffer overflow in V8. Reported by Guang Gong of Alpha Lab, Qihoo 360 on 2021-03-30
[$TBD][1195308] High CVE-2021-21223: Integer overflow in Mojo. Reported by Guang Gong of Alpha Lab, Qihoo 360 on 2021-04-02
[$TBD][1195777] High CVE-2021-21224: Type Confusion in V8. Reported by Jose Martinez (tr0y4) from VerSprite Inc. on 2021-04-05
[$TBD][1195977] High CVE-2021-21225: Out of bounds memory access in V8. Reported by Brendon Tiszka (@btiszka) supporting the EFF on 2021-04-05
[$TBD][1197904] High CVE-2021-21226: Use after free in navigation. Reported by Brendon Tiszka (@btiszka) supporting the EFF on 2021-04-11
[1200824] Various fixes from internal audits, fuzzing and other initiatives
下载地址
离线安装包“无更新组件”版提取原生绿色版方法:
鼠标右键解压离线安装包,此时会解压出来一个chrome.7z
再对chrome.7z解压就是原生绿色版啦!
离线安装包“无更新组件”版不含在线更新升级功能,所以不会添加更新计划任务,也没有后台更新进程,更干净。
Google Chrome v90.0.4430.85 官方正式版 离线安装包(无更新组件)64位
Google Chrome v90.0.4430.85 官方正式版 离线安装包(无更新组件)32位
Google Chrome v90.0.4430.85 官方正式版 离线安装包(含更新组件)64位
https://dl.google.com/edgedl/chrome/install/GoogleChromeStandaloneEnterprise64.MSI
Google Chrome v90.0.4430.85 官方正式版 离线安装包(含更新组件)32位
https://dl.google.com/edgedl/chrome/install/GoogleChromeStandaloneEnterprise.msi
Google Chrome 官方正式版 离线安装包(含更新组件)新版及历史版本
