谷歌Chromium浏览器中的一个漏洞允许攻击者绕过网站上的内容安全策略(CSP),从而窃取数据并执行流氓代码。
据PerimeterX网络安全研究人员Gal Weizman称,该漏洞(CVE-2020-6519)存在于Windows、Mac和Android的Chrome、Opera和Edge中,可能会影响到数十亿的网络用户。Chrome版本73(2019年3月)至83版本受到影响(84版本于7月发布并修复了该问题)。
CSP是一个web标准,旨在阻止某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。CSP允许web管理员指定浏览器应将其视为可执行脚本的有效源的域。与CSP兼容的浏览器将只执行从这些域接收的源文件中加载的脚本。
韦兹曼在周一发布的研究报告中解释说:“CSP是网站所有者执行数据安全策略以防止恶意影子代码在其网站上执行的主要方法,因此,当浏览器强制措施可以绕过时,个人用户数据将面临风险。”。
研究人员指出,大多数网站使用CSP,包括ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、富国银行和Zoom等互联网巨头。一些著名的名字没有受到影响,包括GitHub、googleplay Store、LinkedIn、PayPal、Twitter、雅虎的登录页面和Yandex。
要利用此漏洞,攻击者首先需要获得对web服务器的访问权限(通过强制密码或其他方法),以便能够修改其使用的JavaScript代码。然后,攻击者可以在JavaScript中添加frame-src或child-src指令,允许注入的代码加载并执行它,绕过CSP强制,从而绕过站点的策略,Weizman解释道。
由于bug的身份验证后方面的问题,它被列为中等严重性问题(在CvSS等级中,10分中有6.5分)。然而,因为它影响到CSP的执行,这有着巨大的影响,”Weizman说,他把它比作安全带、安全气囊和碰撞传感器的问题。
研究人员说:“(由于)人们对安全性的认识增强,当这台设备出现故障时,事故造成的损害要严重得多。”。“类似地,网站开发人员可能会允许第三方脚本在其支付页面中添加功能,例如,知道CSP将限制对敏感信息的访问。因此,当CSP被破坏时,依赖它的站点的风险可能比该站点从没有CSP的情况下要高。”
该漏洞在Chrome浏览器中存在了一年多之后才被修复,因此,魏茨曼警告说,该漏洞的全部含义尚不清楚:“我们很有可能在未来几个月内获悉利用该漏洞并导致出于邪恶目的过滤个人身份信息(PII)的数据泄露。”
用户应将浏览器更新到最新版本,以避免成为漏洞攻击的受害者。
【参考来源:threatpost】
