Google释出Chrome 84，修补38个安全漏洞，正式移除对TLS 1.0/1.1的支援

Google在7月14日释出Chrome 84稳定版，该版本修补了38个安全漏洞，也正式移除了对TLS 1.0/1.1的支援，但新增App图示捷径（App Icon Shortcuts）、离线内容索引Content indexing API，以及可防止屏幕睡眠的Wake lock API等新功能。Chrome 84预计于未来几天就会陆续部署到Windows、Mac与Linux等平台。

Google从2019年12月问世的Chrome 79开始，就不推荐网站使用TLS (Transport Layer Security) 1.0及1.1版的网页加密验证协定，原本预计要在今年4月发表的Chrome 81完全移除对TLS 1.0/1.1版的支援，但考量到网站可能正在应对武汉肺炎（COVID-19）疫情而无瑕兼顾，因而它延后到本周释出的Chrome 84。

Chrome安全团队表示，TLS 1.0/1.1所仰赖的MD5及SHA-1加密算法不但都已被破解，而且也含有其它漏洞，10年前就发表的TLS 1.2则已修补相关漏洞并受到广泛的采用。

因此，自Chrome 84开始，用户只要造访依旧采用TLS 1.0/1.1网站，Chrome就会出现插入式的全页面警告。

而App图示捷径允许使用者直接在Chrome中点选程式的图示，就能直接启用该程式的多种功能，像是在Twitter上撰写贴文、传送讯息或检视通知等。

Wake lock API则可用来防止使用者正在参考网页上的内容时，屏幕忽然变暗或锁住，根据专门提供食谱并销售食材的Betty Crocker网站的测试，导入Wake lock API让该站使用者的购买意愿提高了300%。至于Content indexing API则是用来提醒使用者，站上有些内容可以下载以供离线使用。

在Chrome 84此次修补的38个安全漏洞中，只有一个被列为重大（Critical）等级，那是由360 Alpha Lab与360 BugCloud 共同揭露的CVE-2020-6510，会在Chrome处理不可靠的HTML内容时出现边界错误，形成堆积缓冲区溢位漏洞；骇客可打造一个特制的网页并诱导使用者造访来开采该漏洞，成功的开采将允许骇客自远端执行任意程式。