如果您尚未在计算机上更新Chrome,Opera或Micriosodt Edge浏览器的最新更新,请立即并尽快进行更新!
网络安全专家周一在基于Chromium的网络浏览器中披露了零日漏洞的详细信息。该漏洞针对Windows,Mac和Android,并且可能允许攻击者从Chrome 73开始完全绕过内容隐私政策(CSP)规则。
被发现为 CVE-2020-6519(CVSS系统得分为6.5 / 10的漏洞等级),该漏洞源自黑客通过CSP导致任意恶意代码执行。在被黑的网站上。
根据PerimeterX,一些最受欢迎的网站,包括Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora容易被CSP忽略,这有助于黑客入侵。
有趣的是,似乎类似的漏洞CVE-2020-6519于一年多前被腾讯安全宣武实验室警告过,距2019年3月Chrome 73发布仅一个月。但是,直到PerimeterX在今年三月初报告此问题后,该问题才得以解决。
向Google透露有关CVE-2020-6519的信息后,Chrome的开发人员团队正式启动的Chrome 84更新(版本84.0.4147.89)中发布了该漏洞的补丁。用户在上个月的7月14日。
CSP(内容安全策略)是附加的安全层,它可以检测和缓解多种类型的攻击,包括跨站点脚本 (XSS)和数据注入攻击。根据CSP法规,网站可以要求受害者的浏览器执行某些类型的检查,目的是防止专门编写的代码行劫持浏览器的信誉和成功。从服务器接收内容。
由于CSP是用户用来执行数据安全策略并阻止执行恶意脚本的主要方法,因此一旦传递CSP用户数据可能会带来很高的风险。 。
仅当执行指定了浏览器认为可执行脚本有效的域,然后让与CSP兼容的浏览器仅执行从以下位置接收的脚本中的加载脚本时,才会发生这种情况允许使用域,并忽略所有其他域。
腾讯和PerimeterX发现的漏洞通过播放HTML iframe结构的“ src”标签中的恶意JavaScript代码,破坏了网站的CSP配置。
应当注意,未发现该网站(例如Twitter,Github,LinkedIn,Google Play商店,Yahoo登录页面,PayPal和Yandex)具有此漏洞,因为使用Nonce(数字已使用一次-仅使用一次的数字)或哈希(哈希函数)来执行脚本文件。
“ Chrome的CSP执行机制中存在缺陷并不意味着该网站已受到威胁,因为攻击者还需要管理权限才能从该网站调用恶意脚本(这就是原因)为什么将CVE-2020-6519列为中等严重性漏洞)”-根据PerimeterX员工Gal Weizman 所说。
尽管CVE-2020-6519的危险尚未得到充分利用,但用户需要将其浏览器更新到最新版本,以防止可能的设备被黑客入侵。此外,还建议Web开发人员使用CSP的Nonce和Hash方法来增强安全性。
