云安全日报200811:谷歌Chrome浏览器发现漏洞,或影响数十亿用户,需要尽快升级
8月10日,安全研究员在Windows,Mac和Android的基于Chromium的浏览器(Chrome,Opera和Edge)中发现了零日CSP绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过Chrome 73版(2019年3月)至83版的CSP规则,潜在受影响的用户为数十亿,其中Chrome拥有超过20亿用户。 以下是漏洞详情:
漏洞详情
零日CSP绕过漏洞(CVE-2020-6519)
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
CSP指的是内容安全策略,是由万维网联盟(WWW)定义的一种功能,它是指导浏览器强制执行某些客户端策略的Web标准的一部分。利用CSP规则,网站可以指示浏览器阻止或允许特定请求,包括特定类型的JavaScript代码执行。这样可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。开发人员使用CSP保护其应用程序免受Shadow Code注入漏洞和跨站点脚本的攻击(XSS)攻击,并降低其应用程序执行的特权。Web应用程序所有者为他们的站点定义CSP策略,然后由浏览器实施。大多数常见的浏览器(包括Chrome,Safari,Firefox和Edge)都支持CSP,并且在保护客户端执行Shadow Code方面至关重要。
攻击者访问Web服务器,并在javascript中添加frame-src或child-src指令以允许注入的代码加载并执行它,从而绕过CSP强制执行,这样就轻而易举地绕过站点的安全策略。
该漏洞是在Chrome中发现的,Chrome是当今使用最广泛的浏览器,拥有超过20亿用户,并且在浏览器市场中所占的比重超过65%,因此影响是巨大的。CSP是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的Shadow Code的主要方法,因此,当绕过浏览器强制执行时,个人用户数据将受到威胁。
除了少数由于服务器端控制的增强CSP策略而不受此漏洞影响的网站之外,许多网站还容易受到CSP绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些知名大网站,例如Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora。再加上攻击者越来越容易获得未经授权的Web服务器访问权限时,此CSP绕过漏洞可能会导致大量数据泄露。据估计,恶意代码植入其中,跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据的风险。
受影响产品及版本
此漏洞影响Chrome 84之前版本
解决方案
此漏洞由Chrome 84或更高版本修复
最后建议
由于该漏洞在Chrome浏览器中已经存在了一年多,因此尚不清楚其全部含义。在未来几个月中,我们很有可能会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。但是,采取行动还为时不晚。建议如下:
1.考虑添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。
2.仅CSP对大多数网站而言还不够,因此,请考虑添加其他安全层
3.考虑基于JavaScript的影子代码检测和监视,以实时缓解网页代码注入。
4.确保您的Chrome浏览器版本为84或更高版本。
文章来源:
https://www.perimeterx.com/resources/blog/2020/zero-day-vulnerability-discovered-in-google-chrome-csp-enforcement/
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。
想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
蚂蚁可信智能荣获“吴文俊人工智能科技进步一等奖”
阅文去年净利增三成 AI和出海有望成为增长新动力
小米卢伟冰驾驶SU7 Max现身高通发布会 现场引媒体围观
盒马CEO侯毅将退休 CFO严筱磊将兼任CEO
卖完即止!特斯拉Model Y HW3.0现车优惠最高超1万元
央视315晚会曝光六大互联网消费黑幕 你中招了吗?
借4万多元、到手2万多元?央视315晚会曝光同程金融APP礼品卡套路
央视315晚会曝光婚恋平台乱象 世纪佳缘、珍爱网等被点名
央视315曝光AI伪造变脸变声诈骗
更多
- 消息称苹果供应商5月份开始生产第四代AirPods 但要秋季才发布
- 特斯拉希望印度降低电动汽车进口关税已如愿 但有数量限制和投资要求
- 苹果有望在下周宣布WWDC 24时间 可能在6月3日至7日举行
- 苹果OLED屏iPad Pro可能要4月份才能发货 面板与操作系统均遇到挑战
- OpenAI CEO透露GPT-5发布时间尚未确定 终极目标是开发AGI
- 苹果iPad Air也有望转向OLED屏 但要等2028年
- 消息称20多年的Apple ID将成历史 在今年被Apple Account取代
- XAI大模型Grok-1已正式开源 但并不是在马斯克说的上周
- 特斯拉高管看好东南亚市场潜力 电动汽车和储能电池都有发展潜力
- 宝马集团去年交付超过37万辆纯电动汽车 PHEV也交付超过19万辆