8 月 10 日 , 安全研究員在 Windows，Mac 和 Android 的基于 Chromium 的瀏覽器(Chrome，Opera 和 Edge)中發現了零日 CSP 繞過漏洞(CVE-2020-6519)。該漏洞使攻擊者可以完全繞過 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 規則 , 潛在受影響的用戶為數十億，其中 Chrome 擁有超過 20 億用戶。以下是漏洞詳情：

[[337220]]

漏洞詳情

零日 CSP 繞過漏洞(CVE-2020-6519)

“零日漏洞”(zero-day)又叫零時差攻擊，是指被發現后立即被惡意利用的安全漏洞。通俗地講，即安全補丁與瑕疵曝光的同一日內，相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。

CSP 指的是內容安全策略 , 是由萬維網聯盟 (WWW)定義的一種功能，它是指導瀏覽器強制執行某些客戶端策略的 Web 標準的一部分。利用 CSP 規則，網站可以指示瀏覽器阻止或允許特定請求，包括特定類型的 JavaScript 代碼執行。這樣可以確保為站點訪問者提供更強的安全性，并保護他們免受惡意腳本的攻擊。開發人員使用 CSP 保護其應用程序免受 Shadow Code 注入漏洞和跨站點腳本的攻擊(XSS)，并降低其應用程序執行的特權。Web 應用程序所有者為他們的站點定義 CSP 策略，然后由瀏覽器實施。大多數常見的瀏覽器(包括 Chrome，Safari，Firefox 和 Edge)都支持 CSP，并且在保護客戶端執行 Shadow Code 方面至關重要。

攻擊者訪問 Web 服務器，并在 javascript 中添加 frame-src 或 child-src 指令以允許注入的代碼加載并執行它，從而繞過 CSP 強制執行，這樣就輕而易舉地繞過站點的安全策略。

該漏洞是在 Chrome 中發現的，Chrome 是當今使用最廣泛的瀏覽器，擁有超過 20 億用戶，并且在瀏覽器市場中所占的比重超過 65%，因此影響是巨大的。CSP 是網站所有者用來強制執行數據安全策略以防止在其網站上執行惡意的 Shadow Code 的主要方法，因此，當繞過瀏覽器強制執行時，個人用戶數據將受到威脅。

除了少數由于服務器端控制的增強 CSP 策略而不受此漏洞影響的網站之外，許多網站還容易受到 CSP 繞過和潛在惡意腳本執行的影響。這些網站包括世界上一些知名大網站，例如 Facebook，Wells Fargo，Zoom，Gmail，WhatsApp，Investopedia，ESPN，Roblox，Indeed，TikTok，Instagram，Blogger 和 Quora。再加上攻擊者越來越容易獲得未經授權的 Web 服務器訪問權限時，此 CSP 繞過漏洞可能會導致大量數據泄露。據估計 , 惡意代碼植入其中 , 跨行業(包括電子商務，銀行，電信，政府和公用事業)的數千個站點在黑客設法注入的情況下沒有受到保護。這意味著數十億用戶有可能遭受繞過站點安全策略的惡意代碼破壞其數據的風險。

受影響產品及版本

此漏洞影響 Chrome 84 版之前版本

解決方案

此漏洞由 Chrome 84 或更高版本修復

最后建議

由于該漏洞在 Chrome 瀏覽器中已經存在了一年多，因此尚不清楚其全部含義。在未來幾個月中，我們很有可能會了解到數據泄露，這些數據被利用并導致出于惡意目的而泄露個人身份信息(PII)。但是，采取行動還為時不晚。建議如下：

1. 考慮添加其他安全性層，例如隨機數或哈希。這將需要一些服務器端實現。
2. 僅 CSP 對大多數網站而言還不夠，因此，請考慮添加其他安全層
3. 考慮基于 JavaScript 的影子代碼檢測和監視，以實時緩解網頁代碼注入。
4. 確保您的 Chrome 瀏覽器版本為 84 或更高版本。