硅谷网2020年8月11日讯,安全研究员在Windows,Mac和Android的基于Chromium的浏览器(Chrome,Opera和Edge)中发现了零日CSP绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过Chrome 73版(2019年3月)至83版的CSP规则,潜在受影响的用户为数十亿,其中Chrome拥有超过20亿用户。 以下是漏洞详情:
漏洞详情
零日CSP绕过漏洞(CVE-2020-6519)
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
CSP指的是内容安全策略,是由万维网联盟(WWW)定义的一种功能,它是指导浏览器强制执行某些客户端策略的Web标准的一部分。利用CSP规则,网站可以指示浏览器阻止或允许特定请求,包括特定类型的JavaScript代码执行。这样可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。开发人员使用CSP保护其应用程序免受Shadow Code注入漏洞和跨站点脚本的攻击(XSS)攻击,并降低其应用程序执行的特权。Web应用程序所有者为他们的站点定义CSP策略,然后由浏览器实施。大多数常见的浏览器(包括Chrome,Safari,Firefox和Edge)都支持CSP,并且在保护客户端执行Shadow Code方面至关重要。
攻击者访问Web服务器,并在javascript中添加frame-src或child-src指令以允许注入的代码加载并执行它,从而绕过CSP强制执行,这样就轻而易举地绕过站点的安全策略。
该漏洞是在Chrome中发现的,Chrome是当今使用最广泛的浏览器,拥有超过20亿用户,并且在浏览器市场中所占的比重超过65%,因此影响是巨大的。CSP是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的Shadow Code的主要方法,因此,当绕过浏览器强制执行时,个人用户数据将受到威胁。
除了少数由于服务器端控制的增强CSP策略而不受此漏洞影响的网站之外,许多网站还容易受到CSP绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些知名大网站,例如Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora。再加上攻击者越来越容易获得未经授权的Web服务器访问权限时,此CSP绕过漏洞可能会导致大量数据泄露。据估计,恶意代码植入其中,跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据的风险。
受影响产品及版本
此漏洞影响Chrome 84版之前版本
解决方案
此漏洞由Chrome 84或更高版本修复
最后建议
由于该漏洞在Chrome浏览器中已经存在了一年多,因此尚不清楚其全部含义。在未来几个月中,我们很有可能会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。但是,采取行动还为时不晚。建议如下:
1.考虑添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。
2.仅CSP对大多数网站而言还不够,因此,请考虑添加其他安全层
3.考虑基于JavaScript的影子代码检测和监视,以实时缓解网页代码注入。
4.确保您的Chrome浏览器版本为84或更高版本。
|