如果您最近没有将Chrome、Opera或Edge网络浏览器更新到最新可用版本,最好尽快更新。网络安全研究人员周一披露了有关适用于Windows、Mac和Android的基于Chromium的网络浏览器中的零日漏洞的详细信息,该漏洞可能允许攻击者完全绕过从Chrome73开始的内容安全策略(CSP)规则。追踪为CVE-2020-6519(CVSSlevel6.5),该问题源于CSP绕过,导致在目标网站任意执行恶意代码。根据PerimeterX,一些流行的网站,包括Facebook、WellsFargo、Zoom、Gmail、WhatsApp、Investopedia、ESPN、Roblox、Indeed、TikTok、Instagram、Blogger和Quora,都容易受到CSP绕过攻击。有趣的是,腾讯安全玄武实验室似乎在一年多前就发现了同样的漏洞,也就是2019年3月Chrome73发布仅一个月后,直到今年3月初PerimeterX报告该问题才得以解决。在向谷歌披露这一发现后,Chrome团队发布了针对Chrome84更新(版本84.0.4147.89)中漏洞的修复程序,该更新于上个月的7月14日开始推出。CSP是一个额外的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。在CSP规则的帮助下,网站可以要求受害者的浏览器执行某些客户端检查,以阻止旨在利用浏览器对从服务器接收的内容的信任的特定脚本。鉴于CSP是网站所有者用来执行数据安全策略和防止恶意脚本执行的主要方法,绕过CSP可以有效地将用户数据置于风险之中。这是通过指定浏览器应将其视为有效可执行脚本源的域来实现的,以便符合CSP的浏览器仅执行从允许从列出的域接收的那些域接收的源文件加载的脚本,而忽略所有其他域。区域。腾讯和PerimeterX发现的漏洞只是通过在HTMLiframe元素的“src”属性中传递恶意JavaScript代码来绕过为网站配置的CSP。值得注意的是,由于CSP使用随机数或哈希执行内联脚本的策略,未发现Twitter、Github、LinkedIn、GooglePlayStore、Yahoo的登录页面、PayPal和Yandex等网站易受攻击。“Chrome的CSP实现中存在漏洞并不直接表明站点已被破坏,因为攻击者还需要设法从站点获取恶意脚本(这就是漏洞被归类为中等严重程度的原因,”)PerimeterXGalWeizman指出。虽然该漏洞的影响尚不清楚,但用户必须将浏览器更新至最新版本,以防止此类代码被执行。建议网站所有者使用CSP的随机数和哈希函数来增强安全性。除此之外,适用于Windows、Mac和Linux系统的最新Chrome更新84.0.4147.125还修复了其他15个安全漏洞,其中12个被评为“高”和“低”。
