Chrome瀏覽器零日漏洞或影響數(shù)十億用戶 需盡快升級
漏洞詳情
零日CSP繞過漏洞(CVE-2020-6519)
“零日漏洞”(zero-day)又叫零時(shí)差攻擊,是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講,即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi),相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。
CSP指的是內(nèi)容安全策略,是由萬維網(wǎng)聯(lián)盟(WWW)定義的一種功能,它是指導(dǎo)瀏覽器強(qiáng)制執(zhí)行某些客戶端策略的Web標(biāo)準(zhǔn)的一部分。利用CSP規(guī)則,網(wǎng)站可以指示瀏覽器阻止或允許特定請求,包括特定類型的JavaScript代碼執(zhí)行。這樣可以確保為站點(diǎn)訪問者提供更強(qiáng)的安全性,并保護(hù)他們免受惡意腳本的攻擊。開發(fā)人員使用CSP保護(hù)其應(yīng)用程序免受Shadow Code注入漏洞和跨站點(diǎn)腳本的攻擊(XSS)攻擊,并降低其應(yīng)用程序執(zhí)行的特權(quán)。Web應(yīng)用程序所有者為他們的站點(diǎn)定義CSP策略,然后由瀏覽器實(shí)施。大多數(shù)常見的瀏覽器(包括Chrome,Safari,F(xiàn)irefox和Edge)都支持CSP,并且在保護(hù)客戶端執(zhí)行Shadow Code方面至關(guān)重要。
攻擊者訪問Web服務(wù)器,并在javascript中添加frame-src或child-src指令以允許注入的代碼加載并執(zhí)行它,從而繞過CSP強(qiáng)制執(zhí)行,這樣就輕而易舉地繞過站點(diǎn)的安全策略。
該漏洞是在Chrome中發(fā)現(xiàn)的,Chrome是當(dāng)今使用最廣泛的瀏覽器,擁有超過20億用戶,并且在瀏覽器市場中所占的比重超過65%,因此影響是巨大的。CSP是網(wǎng)站所有者用來強(qiáng)制執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意的Shadow Code的主要方法,因此,當(dāng)繞過瀏覽器強(qiáng)制執(zhí)行時(shí),個(gè)人用戶數(shù)據(jù)將受到威脅。
除了少數(shù)由于服務(wù)器端控制的增強(qiáng)CSP策略而不受此漏洞影響的網(wǎng)站之外,許多網(wǎng)站還容易受到CSP繞過和潛在惡意腳本執(zhí)行的影響。這些網(wǎng)站包括世界上一些知名大網(wǎng)站,例如Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora。再加上攻擊者越來越容易獲得未經(jīng)授權(quán)的Web服務(wù)器訪問權(quán)限時(shí),此CSP繞過漏洞可能會導(dǎo)致大量數(shù)據(jù)泄露。據(jù)估計(jì),惡意代碼植入其中,跨行業(yè)(包括電子商務(wù),銀行,電信,政府和公用事業(yè))的數(shù)千個(gè)站點(diǎn)在黑客設(shè)法注入的情況下沒有受到保護(hù)。這意味著數(shù)十億用戶有可能遭受繞過站點(diǎn)安全策略的惡意代碼破壞其數(shù)據(jù)的風(fēng)險(xiǎn)。
受影響產(chǎn)品及版本
此漏洞影響Chrome 84版之前版本
解決方案
此漏洞由Chrome 84或更高版本修復(fù)
最后建議
由于該漏洞在Chrome瀏覽器中已經(jīng)存在了一年多,因此尚不清楚其全部含義。在未來幾個(gè)月中,我們很有可能會了解到數(shù)據(jù)泄露,這些數(shù)據(jù)被利用并導(dǎo)致出于惡意目的而泄露個(gè)人身份信息(PII)。但是,采取行動還為時(shí)不晚。建議如下:
1?紤]添加其他安全性層,例如隨機(jī)數(shù)或哈希。這將需要一些服務(wù)器端實(shí)現(xiàn)。
2。僅CSP對大多數(shù)網(wǎng)站而言還不夠,因此,請考慮添加其他安全層
3?紤]基于JavaScript的影子代碼檢測和監(jiān)視,以實(shí)時(shí)緩解網(wǎng)頁代碼注入。
4。確保您的Chrome瀏覽器版本為84或更高版本。
網(wǎng)友評論
曝光臺排行
延伸閱讀
- 沃爾瑪、京東、華潤萬佳被市場監(jiān)管總局點(diǎn)名
- 一季度家用電子電器類 位居商品類投訴第一
- 視頻自媒體“一條”廣告擅用2分鐘視頻 判賠50萬
- 百度訴今日頭條搜索結(jié)果抄襲:忍無可忍的“技術(shù)保衛(wèi)戰(zhàn)”
- 春節(jié)檔電影盜版大案告破:“幽靈一號”服務(wù)器在哪里
- 中電信、移動、騰訊云等被納入電信業(yè)務(wù)經(jīng)營不良名單
- 當(dāng)心不法分子冒充支付平臺工作人員竊取“紅包余額”
- 網(wǎng)友爆料HTC京東自營與天貓旗艦店無法搜索到
- 中消協(xié)等發(fā)智能鎖試驗(yàn)報(bào)告:半數(shù)存指紋識別安全風(fēng)險(xiǎn)
- 智能門鎖半數(shù)存開啟安全風(fēng)險(xiǎn)
最新曝光臺
- 10天修不完BUG? 暴雪游戲,毀百萬玩家假期!
- 從藤校精英到幣圈騙子:他晃點(diǎn)了硅谷巨頭兩次
- 陌陌被指“盲盒抽獎(jiǎng)”欺詐:只許中小獎(jiǎng),大獎(jiǎng)不兌
- 節(jié)前抽檢:志高、夏新、北京同仁堂、回春集等被點(diǎn)
- “王海測評”爆料“瘋狂小楊哥”售賣的韓國進(jìn)口面
- 男子398元燙發(fā)套餐結(jié)賬成2477元:遭遇消費(fèi)陷阱
- 30天內(nèi)WPS崩了2次?客服稱情況已在緊急排查中
- 快手通報(bào):一員工利用公司數(shù)據(jù)獲利,嚴(yán)重違紀(jì)解除
- 刷單總金額 2700 余萬元,“水軍頭子”被江西警
- 恒大地產(chǎn)新增9條被執(zhí)行人信息,執(zhí)行標(biāo)的9.3億元