GoogleChrome漏洞使数十亿用户面临数据被盗的风险执行流氓代码。PerimeterX网络安全研究员GalWeizman表示,该漏洞编号为CVE-2020-6519,存在于Windows、Mac和Android的Chrome、Opera和Edge浏览器中,可能影响多达10亿用户。其中,Chrome73(2019年3月)至83版本将受到影响,84版本已于7月发布,漏洞已修复。Chrome浏览器拥有超过20亿用户,占据浏览器市场65%以上的份额。CSP是一种Web标准,旨在防止某些攻击,例如跨站点脚本(XSS)和数据注入攻击。CSP允许Web管理员指定浏览器认为有效的可执行脚本源的域。然后,符合CSP的浏览器将仅执行从这些域接收的源文件中加载的脚本。对此,Weizman在报告中表示:“CSP是网站所有者用来执行数据安全策略以防止恶意影子代码在其网站上执行的主要方法,因此当绕过浏览器执行时,个人用户数据将面临风险”目前大部分网络采用CSP策略,如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、WellsFargo,以及Zoom等互联网巨头。当然也有GitHub、GooglePlayStore、LinkedIn等网站、PayPal、Twitter、Yahoo和Yandex不会受到此漏洞的影响。Chrome的CSP执行机制中的漏洞并不直接表明网站已被入侵,因为攻击者还需要设法从网站,网站信任的安全机制存在漏洞,安全机制本可以对第三方脚本执行更严格的政策,但由于漏洞让网站认为他们是安全,它允许他们通过。攻击者利用该漏洞获取Web服务器权限(通过破解密码等方式),修改JavaScript漏洞利用代码。在JavaScript中添加frame-src或child-src指令,攻击者利用该方式绕过CSP策略执行,绕过网站安全规则。经验证,该漏洞的威胁等级为中等(6.5分),但由于该漏洞涉及CSP策略执行,影响面较广。网站开发者允许第三方脚本修改支付页面。例如,他们知道CSP会对敏感信息进行限制,因此可以通过破坏或绕过CSP,窃取支付密码等用户敏感信息。这无疑给网站用户的信息安全带来了极大的风险。该漏洞已在Chrome浏览器中存在一年多时间,现已修复。不过,该漏洞的后续影响尚不明朗。一旦被利用,用户数据将被盗取并被非法使用,后果不堪设想。您还可以在报告中看到安全研究人员测试浏览器或网站是否易受此漏洞影响的过程。创建一个简单的脚本,当通过devtools控制台执行时,可以测试所有这些网站。如果当前浏览器/网站由于CSP/旧版Chrome配置错误而容易受到CVE-2020-6519攻击,该脚本将立即发出通知。尝试从https://pastebin.com/raw/XpHsfXJQ正常加载外部js脚本并加载漏洞。以下是测试后的三个结果:(1)浏览器和网站易受攻击:(2)浏览器易受攻击,但网站没有:(3)浏览器不易受攻击::因此,用户安全可以从以下几个方面采取保护措施:确保CSP策略定义正确。考虑添加其他安全层,如nonce或哈希,这将需要在某些服务器上实现,仅CSP对大多数网站来说是不够的,因此,考虑添加另一层安全。考虑基于JavaScript的影子代码检测和监控,以实时缓解网页代码注入确保Chrome浏览器版本为84或更高版本。
