4006-555-883

Google Chrome浏览器漏洞使数十亿用户面临数据被盗风险

发布时间:2020-08-12 10:17:00

  谷歌Chromium浏览器中的一个漏洞允许攻击者绕过网站上的内容安全策略(CSP),从而窃取数据并执行流氓代码。

  据PerimeterX网络安全研究人员Gal Weizman称,该漏洞(CVE-2020-6519)存在于Windows、Mac和Android的Chrome、Opera和Edge中,可能会影响到数十亿的网络用户。Chrome版本73(2019年3月)至83版本受到影响(84版本于7月发布并修复了该问题)。

  CSP是一个web标准,旨在阻止某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。CSP允许web管理员指定浏览器应将其视为可执行脚本的有效源的域。与CSP兼容的浏览器将只执行从这些域接收的源文件中加载的脚本。



  韦兹曼在周一发布的研究报告中解释说:“CSP是网站所有者执行数据安全策略以防止恶意影子代码在其网站上执行的主要方法,因此,当浏览器强制措施可以绕过时,个人用户数据将面临风险。”。

  研究人员指出,大多数网站使用CSP,包括ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、富国银行和Zoom等互联网巨头。一些著名的名字没有受到影响,包括GitHub、googleplay Store、LinkedIn、PayPal、Twitter、雅虎的登录页面和Yandex。

  要利用此漏洞,攻击者首先需要获得对web服务器的访问权限(通过强制密码或其他方法),以便能够修改其使用的JavaScript代码。然后,攻击者可以在JavaScript中添加frame-src或child-src指令,允许注入的代码加载并执行它,绕过CSP强制,从而绕过站点的策略,Weizman解释道。

  由于bug的身份验证后方面的问题,它被列为中等严重性问题(在CvSS等级中,10分中有6.5分)。然而,因为它影响到CSP的执行,这有着巨大的影响,”Weizman说,他把它比作安全带、安全气囊和碰撞传感器的问题。

  研究人员说:“(由于)人们对安全性的认识增强,当这台设备出现故障时,事故造成的损害要严重得多。”。“类似地,网站开发人员可能会允许第三方脚本在其支付页面中添加功能,例如,知道CSP将限制对敏感信息的访问。因此,当CSP被破坏时,依赖它的站点的风险可能比该站点从没有CSP的情况下要高。”

  该漏洞在Chrome浏览器中存在了一年多之后才被修复,因此,魏茨曼警告说,该漏洞的全部含义尚不清楚:“我们很有可能在未来几个月内获悉利用该漏洞并导致出于邪恶目的过滤个人身份信息(PII)的数据泄露。”

  用户应将浏览器更新到最新版本,以避免成为漏洞攻击的受害者。

  【参考来源:threatpost】

最新发布
1
跟随党的思想指引 共筑网络安全防线
2
Really?这几个行业最容易遭受网络攻击
3
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
4
“羊了个羊”火遍全网,警方发布紧急提醒……
5
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
6
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
7
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
8
5年损失超430亿美元!你的电子邮件系统还安全吗?
9
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
10
4亿多条用户信息被盗,企业网站信息安全如何防护?
相关推荐
5年损失超430亿美元!你的电子邮件系统还安全吗?
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
跟随党的思想指引 共筑网络安全防线
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
Really?这几个行业最容易遭受网络攻击
4亿多条用户信息被盗,企业网站信息安全如何防护?
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?