Chrome瀏覽器零日漏洞或影響數(shù)十億用戶 需盡快升級

　　8月10日，安全研究員在Windows，Mac和Android的基于Chromium的瀏覽器(Chrome，Opera和Edge)中發(fā)現(xiàn)了零日CSP繞過漏洞(CVE-2020-6519)。該漏洞使攻擊者可以完全繞過Chrome 73版(2019年3月)至83版的CSP規(guī)則，潛在受影響的用戶為數(shù)十億，其中Chrome擁有超過20億用戶。 以下是漏洞詳情：

　　漏洞詳情

　　零日CSP繞過漏洞(CVE-2020-6519)

　　“零日漏洞”(zero-day)又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。

　　CSP指的是內(nèi)容安全策略，是由萬維網(wǎng)聯(lián)盟(WWW)定義的一種功能，它是指導(dǎo)瀏覽器強(qiáng)制執(zhí)行某些客戶端策略的Web標(biāo)準(zhǔn)的一部分。利用CSP規(guī)則，網(wǎng)站可以指示瀏覽器阻止或允許特定請求，包括特定類型的JavaScript代碼執(zhí)行。這樣可以確保為站點(diǎn)訪問者提供更強(qiáng)的安全性，并保護(hù)他們免受惡意腳本的攻擊。開發(fā)人員使用CSP保護(hù)其應(yīng)用程序免受Shadow Code注入漏洞和跨站點(diǎn)腳本的攻擊(XSS)攻擊，并降低其應(yīng)用程序執(zhí)行的特權(quán)。Web應(yīng)用程序所有者為他們的站點(diǎn)定義CSP策略，然后由瀏覽器實(shí)施。大多數(shù)常見的瀏覽器(包括Chrome，Safari，F(xiàn)irefox和Edge)都支持CSP，并且在保護(hù)客戶端執(zhí)行Shadow Code方面至關(guān)重要。

　　攻擊者訪問Web服務(wù)器，并在javascript中添加frame-src或child-src指令以允許注入的代碼加載并執(zhí)行它，從而繞過CSP強(qiáng)制執(zhí)行，這樣就輕而易舉地繞過站點(diǎn)的安全策略。

　　該漏洞是在Chrome中發(fā)現(xiàn)的，Chrome是當(dāng)今使用最廣泛的瀏覽器，擁有超過20億用戶，并且在瀏覽器市場中所占的比重超過65%，因此影響是巨大的。CSP是網(wǎng)站所有者用來強(qiáng)制執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意的Shadow Code的主要方法，因此，當(dāng)繞過瀏覽器強(qiáng)制執(zhí)行時(shí)，個(gè)人用戶數(shù)據(jù)將受到威脅。

　　除了少數(shù)由于服務(wù)器端控制的增強(qiáng)CSP策略而不受此漏洞影響的網(wǎng)站之外，許多網(wǎng)站還容易受到CSP繞過和潛在惡意腳本執(zhí)行的影響。這些網(wǎng)站包括世界上一些知名大網(wǎng)站，例如Facebook，Wells Fargo，Zoom，Gmail，WhatsApp，Investopedia，ESPN，Roblox，Indeed，TikTok，Instagram，Blogger和Quora。再加上攻擊者越來越容易獲得未經(jīng)授權(quán)的Web服務(wù)器訪問權(quán)限時(shí)，此CSP繞過漏洞可能會導(dǎo)致大量數(shù)據(jù)泄露。據(jù)估計(jì)，惡意代碼植入其中，跨行業(yè)(包括電子商務(wù)，銀行，電信，政府和公用事業(yè))的數(shù)千個(gè)站點(diǎn)在黑客設(shè)法注入的情況下沒有受到保護(hù)。這意味著數(shù)十億用戶有可能遭受繞過站點(diǎn)安全策略的惡意代碼破壞其數(shù)據(jù)的風(fēng)險(xiǎn)。

　　受影響產(chǎn)品及版本

　　此漏洞影響Chrome 84版之前版本

　　解決方案

　　此漏洞由Chrome 84或更高版本修復(fù)

　　最后建議

　　由于該漏洞在Chrome瀏覽器中已經(jīng)存在了一年多，因此尚不清楚其全部含義。在未來幾個(gè)月中，我們很有可能會了解到數(shù)據(jù)泄露，這些數(shù)據(jù)被利用并導(dǎo)致出于惡意目的而泄露個(gè)人身份信息(PII)。但是，采取行動還為時(shí)不晚。建議如下：

　　1�？紤]添加其他安全性層，例如隨機(jī)數(shù)或哈希。這將需要一些服務(wù)器端實(shí)現(xiàn)。

　　2。僅CSP對大多數(shù)網(wǎng)站而言還不夠，因此，請考慮添加其他安全層

　　3�？紤]基于JavaScript的影子代碼檢測和監(jiān)視，以實(shí)時(shí)緩解網(wǎng)頁代碼注入。

　　4。確保您的Chrome瀏覽器版本為84或更高版本。