| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 硅谷新报>

谷歌Chrome浏览器漏洞被发现 影响用户范围很广

2020-08-12 02:49 作者:冷夜轩 来源:硅谷网 关注: 编辑:GuiGu 【搜索试试

硅谷网2020年8月11日讯,安全研究员在Windows,Mac和Android的基于Chromium的浏览器(Chrome,Opera和Edge)中发现了零日CSP绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过Chrome 73版(2019年3月)至83版的CSP规则,潜在受影响的用户为数十亿,其中Chrome拥有超过20亿用户。 以下是漏洞详情:

漏洞详情

零日CSP绕过漏洞(CVE-2020-6519)

“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

CSP指的是内容安全策略,是由万维网联盟(WWW)定义的一种功能,它是指导浏览器强制执行某些客户端策略的Web标准的一部分。利用CSP规则,网站可以指示浏览器阻止或允许特定请求,包括特定类型的JavaScript代码执行。这样可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。开发人员使用CSP保护其应用程序免受Shadow Code注入漏洞和跨站点脚本的攻击(XSS)攻击,并降低其应用程序执行的特权。Web应用程序所有者为他们的站点定义CSP策略,然后由浏览器实施。大多数常见的浏览器(包括Chrome,Safari,Firefox和Edge)都支持CSP,并且在保护客户端执行Shadow Code方面至关重要。

攻击者访问Web服务器,并在javascript中添加frame-src或child-src指令以允许注入的代码加载并执行它,从而绕过CSP强制执行,这样就轻而易举地绕过站点的安全策略。

该漏洞是在Chrome中发现的,Chrome是当今使用最广泛的浏览器,拥有超过20亿用户,并且在浏览器市场中所占的比重超过65%,因此影响是巨大的。CSP是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的Shadow Code的主要方法,因此,当绕过浏览器强制执行时,个人用户数据将受到威胁。

除了少数由于服务器端控制的增强CSP策略而不受此漏洞影响的网站之外,许多网站还容易受到CSP绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些知名大网站,例如Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora。再加上攻击者越来越容易获得未经授权的Web服务器访问权限时,此CSP绕过漏洞可能会导致大量数据泄露。据估计,恶意代码植入其中,跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据的风险。

受影响产品及版本

此漏洞影响Chrome 84版之前版本

解决方案

此漏洞由Chrome 84或更高版本修复

最后建议

由于该漏洞在Chrome浏览器中已经存在了一年多,因此尚不清楚其全部含义。在未来几个月中,我们很有可能会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。但是,采取行动还为时不晚。建议如下:

1.考虑添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。

2.仅CSP对大多数网站而言还不够,因此,请考虑添加其他安全层

3.考虑基于JavaScript的影子代码检测和监视,以实时缓解网页代码注入。

4.确保您的Chrome浏览器版本为84或更高版本。

【对“谷歌Chrome浏览器漏洞被发现 影响用户范围很广”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·开发者利用谷歌Chrome Store浏览器散播恶意软件
头条
微软承诺惨遭烂尾 Xbox 20/20活动被微软取消了 微软承诺惨遭烂尾 Xbox 20/20活动被微软取消
硅谷网2020年8月12日讯 ,2020年 5 月,微软公布 Xbox 20/20 品牌,并承诺在 Xbox Ser……
·不遵守美国会计标准的中国或其他国家的企业会
·微软承诺惨遭烂尾 Xbox 20/20活动被微软取消
·蚕丝硬盘:基于蚕丝蛋白的高容量生物存储研发
·理想ONE再次遭遇断轴事故 理想汽车质量不安全
·英特尔发生数据泄漏 超20GB源代码和专有技术
图文
微软承诺惨遭烂尾 Xbox 20/20活动被微软取消了
微软承诺惨遭烂尾 Xbox 20/20活动被微软取
理想ONE再次遭遇断轴事故 理想汽车质量不安全
理想ONE再次遭遇断轴事故 理想汽车质量不安
世界四大湾区:世界四大湾区经济体名称及简介
世界四大湾区:世界四大湾区经济体名称及简
小米通报内部贪腐:两位市场员工已被辞退并问责
小米通报内部贪腐:两位市场员工已被辞退并
热点
·世界四大湾区:世界四大湾区经济体名称及简介
·国外著名科技网站有哪些?哪里看国际科技新闻
·世界四大硅谷所在地 四大硅谷的名称及所在地
·小米通报内部贪腐:两位市场员工已被辞退并问
·令国人骄傲的联想,走出国门后一去不复返了?
旧闻
·揭秘阿里启动香港上市究竟是真是假 原来如此
·中国科创板白皮书2020将于2020年7月22日发布
·受疫情刺激 全球PC出货量2020年第二季度同比
·欧盟指控亚马逊从第三方卖家收集数据进行不正
·多家电商平台仍在销售电子烟,禁令被市场多重
广告
硅谷精选
微软承诺惨遭烂尾 Xbox 20/20活动被微软取消了
微软承诺惨遭烂尾 Xbox 20/20活动被微软取消了
理想ONE再次遭遇断轴事故 理想汽车质量不安全
理想ONE再次遭遇断轴事故 理想汽车质量不安全
微信清粉服务可能泄露个人信息 要安全慎重清粉
微信清粉服务可能泄露个人信息 要安全慎重清粉
英特尔发生数据泄漏 超20GB源代码和专有技术数据被曝光
英特尔发生数据泄漏 超20GB源代码和专有技术数据被曝
WhatsApp研发新功能:在多个设备上同时使用一个账号
WhatsApp研发新功能:在多个设备上同时使用一个账号
整个世界仍有23.34%的用户继续使用Windows 7系统
整个世界仍有23.34%的用户继续使用Windows 7系统
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>