Google Chrome浏览器存在安全漏洞,攻击者可利用该漏洞绕过网站上的内容安全策略(CSP),进而窃取用户数据并执行恶意代码。
网络安全研究人员表示,该漏洞(CVE-2020-6519)存在于Windows、Mac和Android的Chrome、Opera和Edge浏览器中,可能影响数十亿网络用户。Chrome 73版本(2019年3月)到83版本均会受到影响,84版本已在7月发布并修复了该漏洞。
CSP是一种网络标准,旨在防御特定类型的网络攻击,包括跨站脚本(XSS)和数据注入攻击。Web管理员可以通过CSP管理浏览器允许加载的域,与CSP兼容的浏览器仅执行从这些域接收的源文件中加载的脚本。
CSP是网站管理者实施数据安全策略的主要方法,以防御攻击者在其网站上进行的恶意活动。因此,当攻击者可以绕过该策略时,用户的隐私数据将面临风险。
研究人员指出,大多数网站都使用CSP,包括ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo和Zoom等互联网巨头,但GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahoo登陆页面和Yandex等没有受到影响。
为了利用该漏洞,首先攻击者需要获取Web服务器访问权限(通过暴力破解或其他方法),以便修改JavaScript代码。然后,攻击者可以在JavaScript中添加frame-src或child-src指令,加载并执行注入的代码,绕过CSP执行,进而绕过网站的安全策略。
经过验证,该漏洞被视为中危漏洞。但是,由于该漏洞影响到CSP,因此需要特别重视。
研究人员表示,由于安全意识的提升,当设备出现故障时,造成的损失要更加严重。类似的,网站开发者允许第三方脚本向付款页面添加功能,例如,都知道CSP会限制访问敏感信息,因此,当CSP被绕过时,依赖于CSP站点的风险可能比没有CSP时要高。
在修复之前,该漏洞已在Chrome浏览器中存在一年多,因此,该漏洞的实际影响尚不可知。未来几个月,可能会发现利用该漏洞的数据泄露情况,可能会导致个人身份信息(PII)泄露。
用户应将浏览器更新至最新版本,以免遭受攻击。
参考文献:https://threatpost.com/google-chrome-bug-data-theft/158217/