Google Chrome浏览器漏洞使数十亿用户面临数据被盗风险

发布时间:2020-08-12 10:17:00

  谷歌Chromium浏览器中的一个漏洞允许攻击者绕过网站上的内容安全策略(CSP),从而窃取数据并执行流氓代码。

  据PerimeterX网络安全研究人员Gal Weizman称,该漏洞(CVE-2020-6519)存在于Windows、Mac和Android的Chrome、Opera和Edge中,可能会影响到数十亿的网络用户。Chrome版本73(2019年3月)至83版本受到影响(84版本于7月发布并修复了该问题)。

  CSP是一个web标准,旨在阻止某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。CSP允许web管理员指定浏览器应将其视为可执行脚本的有效源的域。与CSP兼容的浏览器将只执行从这些域接收的源文件中加载的脚本。



  韦兹曼在周一发布的研究报告中解释说:“CSP是网站所有者执行数据安全策略以防止恶意影子代码在其网站上执行的主要方法,因此,当浏览器强制措施可以绕过时,个人用户数据将面临风险。”。

  研究人员指出,大多数网站使用CSP,包括ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、富国银行和Zoom等互联网巨头。一些著名的名字没有受到影响,包括GitHub、googleplay Store、LinkedIn、PayPal、Twitter、雅虎的登录页面和Yandex。

  要利用此漏洞,攻击者首先需要获得对web服务器的访问权限(通过强制密码或其他方法),以便能够修改其使用的JavaScript代码。然后,攻击者可以在JavaScript中添加frame-src或child-src指令,允许注入的代码加载并执行它,绕过CSP强制,从而绕过站点的策略,Weizman解释道。

  由于bug的身份验证后方面的问题,它被列为中等严重性问题(在CvSS等级中,10分中有6.5分)。然而,因为它影响到CSP的执行,这有着巨大的影响,”Weizman说,他把它比作安全带、安全气囊和碰撞传感器的问题。

  研究人员说:“(由于)人们对安全性的认识增强,当这台设备出现故障时,事故造成的损害要严重得多。”。“类似地,网站开发人员可能会允许第三方脚本在其支付页面中添加功能,例如,知道CSP将限制对敏感信息的访问。因此,当CSP被破坏时,依赖它的站点的风险可能比该站点从没有CSP的情况下要高。”

  该漏洞在Chrome浏览器中存在了一年多之后才被修复,因此,魏茨曼警告说,该漏洞的全部含义尚不清楚:“我们很有可能在未来几个月内获悉利用该漏洞并导致出于邪恶目的过滤个人身份信息(PII)的数据泄露。”

  用户应将浏览器更新到最新版本,以避免成为漏洞攻击的受害者。

  【参考来源:threatpost】

最新发布
1
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
2
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
3
惊!91%的工业企业容易遭受网络攻击
4
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
5
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
6
《中华人民共和国个人信息保护法》审议通过
7
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
8
规范“人脸识别”,为盗刷者戴上“紧箍咒”
9
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
10
《网络安全审查办法(修订草案征求意见稿)》解读
相关推荐
Cyberhouse数据泄露:130万名用户信息被免费挂到网上
《网络安全审查办法(修订草案征求意见稿)》解读
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
规范“人脸识别”,为盗刷者戴上“紧箍咒”
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
5.33亿Facebook用户的电话号码在黑客论坛被泄露
惊!91%的工业企业容易遭受网络攻击
错误的证书信任关系,导致3000万台戴尔设备面临重大风险
美国最大的丙烷供应商AmeriGas自曝发生了数据泄露
不知道如何“不见面”招投标?天威诚信来帮你!