Chrome 浏览器 CSP 漏洞导致数十亿用户面临数据被盗风险
来源:内容转载
阅读量:889
发布时间:2020-08-11 10:25:17
我要分享
Threat Post 报道称:基于 Chromium 内核的浏览器被曝存在一个可被绕过的内容安全策略(简称 CSP)漏洞,导致数十亿用户易被攻击者窃取数据和执行恶意代码。PerimeterX 网络安全研究人员 Gal Weizman 指出,该漏洞(CVE-2020-6519)可在 Windows、Mac 和 Android 版 Chrome 浏览器,以及 Opera 和 Edge 中找到。 (来自:PerimeterX) 如果你仍在使用 2019 年 3 月发布的 Chrome 73、以及 2020 年 7 月前的 Chrome 83,还请尽快更新至已修复 CVE-2020-6519 漏洞的 Chrome 84 。 据悉,作为一项 Web 标准,内容安全策略(CSP)旨在阻止某些类型的攻击,比如跨站脚本(XSS)和数据注入(data-injection)。 CSP 允许 Web 管理员指定浏览器可执行脚本的有效源范围,以便兼容该标准的浏览器仅执行可信来源的脚本加载操作。 浏览器易受攻击,但网站并不这样。 Weizman 在周一发布的研究报告中指出:“CSP 是网站所有者用于执行数据安全策略、以防止在其网站上执行恶意影子代码的主要方法,因而当其绕过浏览器时,个人用户的数据就面临着风险”。 目前大多数网站都已事实 CSP 内容安全策略,包括大家熟知的 ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo 和 Zoom 等互联网巨头。 不过一些知名的站点得以幸免,包括 GitHub、谷歌 Play 商店、领英 LinkedIn、PayPal、Twitter、雅虎登录页面、以及 Yandex 。 用此漏洞,攻击者必须先通过暴力破解或其它方法来访问 Web 服务器,以便能够修改其 JavaScript 代码。 然后攻击者可以在 JavaScript 中添加 frame-src 或 child-src 指令,以允许注入代码并强制加载执行,从而绕过站点 CSP 内容安全策略的防护。 尽管该漏洞被 CvSS 认定为中等严重等级(6/10),但由于它会影响 CSP 的执行,因此具有了更广泛的意义。换言之,当设备不幸中招时,事故造成的损害将严重得多。 举个例子,若 CSP 措施得当,网站仍可限制对此类敏感信息的访问。但以类似的方式,恶意 Web 开发者可利用第三方脚本,向付款页面加注一些额外的功能。 更糟糕的是,这个漏洞已在 Chrome 浏览器中存在了一年以上,直到近日才得到彻底修复。因而 Weizman 警告称,该漏洞的全部影响尚不为人所知。 最后,为避免遭受此类攻击而导致个人身份信息(PII)等敏感数据泄露,还请大家立即将浏览器升级到最新版本。 (稿源:cnBeta,封面源自网络。)
分享到:
热点资讯
-
空姐3千,明星1万,明码标价的“私人伴游”竟为色情服务
-
警方紧急通报!车主注意,这类骗局近期高发,全国已有多人中招
-
起底张庭微商帝国:产品质量引发质疑,营销模式被指涉传
-
从脑白金、铂爵旅拍再到360借条,到底是谁在为奇葩广告买单?
-
掌声哥在吃屎,吴帝聪送房车…短视频里的成功学大师众生相
-
张萌身份被盗用?起底明星隐私信息倒卖链:30买手机号,150买全套
-
花4.5万就能拿到大厂offer,付费求职到底是馅饼还是陷阱?
-
卧底网络赌博群:看场球被骗十几万,多平台用同一套路疯狂割韭菜
-
张馨予遭勒索的背后,是一天盈利数万元的网络水军“黑色产业链”
-
微博上那些“私人借贷”,让你越贷越穷的连环诈骗
-
汇仁肾宝、印度神油……上亿的“性”福智商税,总有一款适合你
-
你的9.9到付快递,很可能是新型疯狂骗局,全国200多万人被骗!
-
庞氏骗局“新玩法”,6000人“云养猫”被骗数十亿
-
“热搜前三1次7万”,郑爽被质疑买热搜?杨幂谢娜也曾为此买单
-
靠摆拍正能量收入上百万,抖音快手等短视频博主新的财富密码
-
花2300万请易烊千玺代言,却收到一纸维权声明,腾讯老干妈事件重演?
-
明星换脸不雅视频、贴身衣物买卖盛行,闲鱼成为色情交易温床?
-
快手网红直播送手机后“诈死”,抽奖诈骗披着直播带货外衣“复活”
-
大胃王产业链:靠吃播赚钱,靠催吐存活
-
《乘风破浪》张雨绮的美胸神器,同类产品曾被质疑损害孩子身体
-
范闲为李沁展示的小仙女神器,竟致死1.4万人?
-
贴吧色情交友信息泛滥,掉队的百度,又被色情黑产盯上了?
-
又闹出人命,前科累累的气功荒诞发展史,马云钱学森都曾深信不疑
-
左右乳业标准?蒙牛伊利“六宗罪”:一场21世纪的“叫魂”危机