如果您最近尚未將Chrome,Opera或Edge網絡瀏覽器更新到最新的可用版本,則最好盡快進行更新。
網絡安全研究人員周一披露了有關適用于windows,mac和Android的基于Chromium的Web瀏覽器零日漏洞的詳細信息,該漏洞可能使攻擊者自Chrome 73開始完全繞過內容安全策略(CSP)規則。
跟蹤為CVE-2020-6519(CVSS等級為6.5),此問題源于CSP繞過,導致目標網站上惡意代碼的任意執行。
根據PerimeterX,一些最受歡迎的網站,包括Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora,都容易受到CSP繞過。
有趣的是,騰訊安全玄武實驗室似乎在一年多前也發現了相同的漏洞,距2019年3月Chrome 73發布僅一個月,但直到PerimeterX在今年三月初報告此問題后才得以解決。
在將發現信息披露給google之后,Chrome團隊發布了針對Chrome 84更新(版本84.0.4147.89)中漏洞的修復程序,該更新于上個月的7月14日開始推出。
CSP是安全性的額外一層,可幫助檢測和緩解某些類型的攻擊,包括跨站點腳本(XSS)和數據注入攻擊。借助CSP規則,網站可以要求受害者的瀏覽器執行某些客戶端檢查,以阻止旨在利用瀏覽器信任從服務器接收的內容的特定腳本。
鑒于CSP是網站所有者用來實施數據安全策略并防止執行惡意腳本的主要方法,因此CSP繞過可以有效地使用戶數據面臨風險。
這是通過指定瀏覽器應視為有效的可執行腳本源的域來實現的,以便與CSP兼容的瀏覽器僅執行從那些允許列出的域接收的源文件中加載的腳本,而忽略所有其他域。
騰訊和PerimeterX發現的漏洞僅通過在html iframe元素的“ src”屬性中傳遞惡意的JAVAScript代碼來繞過為網站配置的CSP。
值得注意的是,由于CSP策略是使用隨機數或哈希值來執行內聯腳本的,因此未發現Twitter,Github,LinkedIn,Google Play Store,Yahoo的Login Page,PayPal和Yandex等網站容易受到攻擊。
“ Chrome瀏覽器的CSP實施機制中存在漏洞并不直接表示網站已被破壞,因為攻擊者還需要設法從該網站獲取惡意腳本(這就是為什么該漏洞被歸為中等嚴重性的原因,”)PerimeterXGal Weizman指出。
盡管該漏洞的影響仍然未知,但用戶必須將其瀏覽器更新到最新版本,以防止執行此類代碼。建議網站所有者使用CSP的隨機數和哈希功能來增強安全性。
除此之外,針對Windows,Mac和linux系統的最新Chrome更新84.0.4147.125還修補了15個其他安全漏洞,其中12個安全漏洞的等級為“高”和“低”。
