如果您最近尚未將Chrome，Opera或Edge網(wǎng)絡(luò)瀏覽器更新到最新的可用版本，則最好盡快進(jìn)行更新。

[[337553]]

網(wǎng)絡(luò)安全研究人員周一披露了有關(guān)適用于Windows，Mac和Android的基于Chromium的Web瀏覽器零日漏洞的詳細(xì)信息，該漏洞可能使攻擊者自Chrome 73開(kāi)始完全繞過(guò)內(nèi)容安全策略(CSP)規(guī)則。

跟蹤為CVE-2020-6519(CVSS等級(jí)為6.5)，此問(wèn)題源于CSP繞過(guò)，導(dǎo)致目標(biāo)網(wǎng)站上惡意代碼的任意執(zhí)行。

根據(jù)PerimeterX，一些很受歡迎的網(wǎng)站，包括Facebook，Wells Fargo，Zoom，Gmail，WhatsApp，Investopedia，ESPN，Roblox，Indeed，TikTok，Instagram，Blogger和Quora，都容易受到CSP繞過(guò)。

有趣的是，騰訊安全玄武實(shí)驗(yàn)室似乎在一年多前也發(fā)現(xiàn)了相同的漏洞，距2019年3月Chrome 73發(fā)布僅一個(gè)月，但直到PerimeterX在今年三月初報(bào)告此問(wèn)題后才得以解決。

在將發(fā)現(xiàn)信息披露給Google之后，Chrome團(tuán)隊(duì)發(fā)布了針對(duì)Chrome 84更新(版本84.0.4147.89)中漏洞的修復(fù)程序，該更新于上個(gè)月的7月14日開(kāi)始推出。

CSP是安全性的額外一層，可幫助檢測(cè)和緩解某些類型的攻擊，包括跨站點(diǎn)腳本(XSS)和數(shù)據(jù)注入攻擊。借助CSP規(guī)則，網(wǎng)站可以要求受害者的瀏覽器執(zhí)行某些客戶端檢查，以阻止旨在利用瀏覽器信任從服務(wù)器接收的內(nèi)容的特定腳本。

鑒于CSP是網(wǎng)站所有者用來(lái)實(shí)施數(shù)據(jù)安全策略并防止執(zhí)行惡意腳本的主要方法，因此CSP繞過(guò)可以有效地使用戶數(shù)據(jù)面臨風(fēng)險(xiǎn)。

這是通過(guò)指定瀏覽器應(yīng)視為有效的可執(zhí)行腳本源的域來(lái)實(shí)現(xiàn)的，以便與CSP兼容的瀏覽器僅執(zhí)行從那些允許列出的域接收的源文件中加載的腳本，而忽略所有其他域。

騰訊和PerimeterX發(fā)現(xiàn)的漏洞僅通過(guò)在HTML iframe元素的“ src”屬性中傳遞惡意的JavaScript代碼來(lái)繞過(guò)為網(wǎng)站配置的CSP。

值得注意的是，由于CSP策略是使用隨機(jī)數(shù)或哈希值來(lái)執(zhí)行內(nèi)聯(lián)腳本的，因此未發(fā)現(xiàn)Twitter，Github，LinkedIn，Google Play Store，Yahoo的Login Page，PayPal和Yandex等網(wǎng)站容易受到攻擊。

“ Chrome瀏覽器的CSP實(shí)施機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞，因?yàn)楣粽哌€需要設(shè)法從該網(wǎng)站獲取惡意腳本(這就是為什么該漏洞被歸為中等嚴(yán)重性的原因，”)PerimeterXGal Weizman指出。

盡管該漏洞的影響仍然未知，但用戶必須將其瀏覽器更新到最新版本，以防止執(zhí)行此類代碼。建議網(wǎng)站所有者使用CSP的隨機(jī)數(shù)和哈希功能來(lái)增強(qiáng)安全性。

除此之外，針對(duì)Windows，Mac和Linux系統(tǒng)的最新Chrome更新84.0.4147.125還修補(bǔ)了15個(gè)其他安全漏洞，其中12個(gè)安全漏洞的等級(jí)為“高”和“低”。