谷歌Chrome浏览器发现漏洞,需尽快升级至84及以上版本绕过漏洞(CVE-2020-6519)。该漏洞允许攻击者完全绕过Chrome版本73(2019年3月)至83的CSP规则,可能影响数十亿用户,其中Chrome拥有超过20亿用户。漏洞详情如下:漏洞详情零日CSP绕过漏洞(CVE-2020-6519)“零日漏洞”又称零日攻击,是指被发现后立即被恶意利用的安全漏洞.通俗地说,就是在安全补丁和漏洞暴露的同一天,相关的恶意程序就出现了。此类攻击通常非常突然且具有破坏性。CSP是指内容安全策略,由万维网联盟(WWW)定义的一项功能,它是指示浏览器执行某些客户端策略的Web标准的一部分。使用CSP规则,网站可以指示浏览器阻止或允许特定请求,包括某些类型的JavaScript代码执行。这确保了网站访问者的安全性更高,并保护他们免受恶意脚本的侵害。开发人员使用CSP来保护他们的应用程序免受影子代码注入漏洞和跨站点脚本(XSS)攻击,并降低他们的应用程序执行权限。Web应用程序所有者为其站点定义CSP策略,然后由浏览器强制执行。大多数常见浏览器(包括Chrome、Safari、Firefox和Edge)都支持CSP,并且对于保护客户端免于执行影子代码至关重要。攻击者访问Web服务器并在javascript中添加frame-src或child-src指令以允许注入的代码加载和执行它,绕过CSP强制执行,这很容易绕过站点的安全策略。该错误是在Chrome中发现的,Chrome是当今使用最广泛的浏览器,拥有超过20亿用户和超过65%的浏览器市场,因此影响是巨大的。CSP是网站所有者用来执行数据安全策略以防止恶意影子代码在其网站上执行的主要方法,因此当浏览器执行被绕过时,个人用户数据将面临风险。除了少数网站由于服务器端控制的增强型CSP策略不受此漏洞影响外,许多网站也容易受到CSP绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些最知名的网站,例如Facebook、WellsFargo、Zoom、Gmail、WhatsApp、Investopedia、ESPN、Roblox、Indeed、TikTok、Instagram、Blogger和Quora。再加上攻击者越来越容易获得对Web服务器的未授权访问,此CSP绕过漏洞可能会导致大量数据泄露。据估计,跨行业(包括电子商务、银行、电信、政府和公用事业)的数千个站点未受到保护,黑客设法在其中注入恶意代码。这意味着数十亿用户面临数据被绕过站点安全策略的恶意代码破坏的风险。受影响的产品和版本此漏洞影响Chrome84之前的版本。此漏洞由Chrome84或更高版本修复。最终建议由于该漏洞已在Chrome浏览器中存在一年多,因此其全部影响尚不清楚。在接下来的几个月里,我们很可能会了解数据泄露,其中数据被利用并导致出于恶意目的披露个人身份信息(PII)。然而,现在行动还为时不晚。建议如下:考虑添加额外的安全层,例如随机数或哈希。这将需要一些服务器端实现。仅CSP对大多数网站来说是不够的,因此考虑添加额外的安全层考虑基于JavaScript的影子代码检测和监控以实时减轻网页代码注入。确保您的Chrome浏览器是84或更高版本。
