谷歌的Chrome瀏覽器中存在安全漏洞，攻擊者可利用該漏洞繞過網絡的內容安全策略(CSP)，進而竊取用戶數據并執行流氓代碼。

[[337309]]

PerimeterX網絡安全研究人員Gal Weizman表示，該漏洞編號為CVE-2020-6519，存在于Windows、Mac和安卓的Chrome、Opera和Edge瀏覽器中，潛在影響用戶多達十億。其中，Chrome的73版本(2019年3月)到83版本均會受到影響，84版本已在7月發布，并修復了該漏洞。Chrome瀏覽器擁有超過20億用戶，并且占瀏覽器市場的65%以上。

CSP是一種Web標準，旨在阻止某些攻擊，比如跨站點腳本(XSS)和數據注入攻擊。CSP允許Web管理員指定瀏覽器將其視為可執行腳本的有效源的域。然后，與CSP兼容的瀏覽器將僅執行從這些域接收的源文件中加載的腳本。

對此，Weizman在報告中表示：“CSP是網站所有者用來執行數據安全策略以防止在其網站上執行惡意影子代碼的主要方法，因此當繞過瀏覽器執行時，個人用戶數據將面臨風險。”

目前，大多數網絡均使用CSP策略，比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互聯網巨頭。當然，也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不會受此次漏洞的影響。

Chrome的CSP強制執行機制中存在漏洞并不直接表示網站已被破壞，因為攻擊者還需要設法從該網站獲取惡意腳本。網站信任的安全機制存在漏洞，安全機制原本可以對第三方腳本執行更嚴格的策略，但是因為漏洞會讓網站認為他們是安全的而允許他們通過。

攻擊者利用該漏洞獲取Web服務器權限(通過暴破密碼或者其他方式)并修改JavaScript利用代碼。在JavaScipt中增加 frame-src或者child-src指令，攻擊者利用這種方式饒過CSP策略執行、繞過網站安全規則。

經驗證后，該漏洞的威脅程度為中等(6.5分)，然而，因為該漏洞涉及CSP策略執行，所以影響很廣。網站開發人員允許第三方腳本修改支付頁面，比如知道CSP會限制敏感信息，所以破壞或者繞過CSP，便可以竊取用戶敏感信息比如支付密碼等。這無疑給網站用戶的信息安全帶來很大的風險。

該漏洞在Chrome瀏覽器中存在超過一年了，目前該漏洞已經修復。但是該漏洞的后續影響尚不明確，一旦遭到利用，用戶數據遭竊取用于非法途徑，后果將不堪設想。

在報告中還可以看到安全研究人員測試瀏覽器或者網站是否容易受到該漏洞影響的過程，創建一個簡單的腳本，當通過devtools控制臺執行該腳本時，可以測試所有這些網站，該腳本將立即通知當前的瀏覽器/網站是否由于CSP/Old Chrome配置錯誤而受到CVE-2020-6519的攻擊。嘗試從https://pastebin.com/raw/XpHsfXJQ正常加載外部js腳本，并加載漏洞利用程序。以下以測試后的三種結果：

(1) 瀏覽器和網站容易受到攻擊：

(2) 瀏覽器易受攻擊，但網站不易受攻擊：:

(3) 瀏覽器不容易受到攻擊：:

因此，用戶可從以下幾個方面做好安全防護措施：

• 確保CSP策略定義正確。考慮添加其他安全性層，例如nonces或hashs，這將需要在一些服務器端實現
• 僅CSP對大多數網站而言還不夠，因此，請考慮添加其他安全層。考慮基于JavaScript的影子代碼檢測和監視，以實時緩解網頁代碼注入
• 確保Chrome瀏覽器版本為84或更高版本。