您的位置:首页 > 电脑软件

谷歌 Chrome 浏览器发现漏洞,需尽快升至 84 及以上版本

发布时间:2020-08-11 00:00:00  来源:互联网     背景:

  8 月 10 日 , 安全研究员在 Windows,Mac 和 Android 的基于 Chromium 的浏览器(Chrome,Opera 和 Edge)中发现了零日 CSP 绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 规则 , 潜在受影响的用户为数十亿,其中 Chrome 拥有超过 20 亿用户。以下是漏洞详情:

  漏洞详情

  零日 CSP 绕过漏洞(CVE-2020-6519)

  “零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

  CSP 指的是内容安全策略 , 是由万维网联盟 (WWW)定义的一种功能,它是指导浏览器强制执行某些客户端策略的 Web 标准的一部分。利用 CSP 规则,网站可以指示浏览器阻止或允许特定请求,包括特定类型的 JavaScript 代码执行。这样可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。开发人员使用 CSP 保护其应用程序免受 Shadow Code 注入漏洞和跨站点脚本的攻击(XSS)攻击,并降低其应用程序执行的特权。Web 应用程序所有者为他们的站点定义 CSP 策略,然后由浏览器实施。大多数常见的浏览器(包括 Chrome,Safari,Firefox 和 Edge)都支持 CSP,并且在保护客户端执行 Shadow Code 方面至关重要。

  攻击者访问 Web 服务器,并在 javascript 中添加 frame-src 或 child-src 指令以允许注入的代码加载并执行它,从而绕过 CSP 强制执行,这样就轻而易举地绕过站点的安全策略。

  该漏洞是在 Chrome 中发现的,Chrome 是当今使用最广泛的浏览器,拥有超过 20 亿用户,并且在浏览器市场中所占的比重超过 65%,因此影响是巨大的。CSP 是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的 Shadow Code 的主要方法,因此,当绕过浏览器强制执行时,个人用户数据将受到威胁。

  除了少数由于服务器端控制的增强 CSP 策略而不受此漏洞影响的网站之外,许多网站还容易受到 CSP 绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些知名大网站,例如 Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger 和 Quora。再加上攻击者越来越容易获得未经授权的 Web 服务器访问权限时,此 CSP 绕过漏洞可能会导致大量数据泄露。据估计 , 恶意代码植入其中 , 跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据的风险。

  受影响产品及版本

  此漏洞影响 Chrome 84 版之前版本

  解决方案

  此漏洞由 Chrome 84 或更高版本修复

  最后建议

  由于该漏洞在 Chrome 浏览器中已经存在了一年多,因此尚不清楚其全部含义。在未来几个月中,我们很有可能会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。但是,采取行动还为时不晚。建议如下:

  1. 考虑添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。

  2. 仅 CSP 对大多数网站而言还不够,因此,请考虑添加其他安全层

  3. 考虑基于 JavaScript 的影子代码检测和监视,以实时缓解网页代码注入。

  4. 确保您的 Chrome 浏览器版本为 84 或更高版本。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
爆料:微软Windows 10版本2004 RTM正式版已完成
1月2日消息 此前微软已经发布了2019 Windows 10更新十一月版系统更新,微软一直在开发Windows 10版......
日期:01-02
开源办公套件LibreOffice 6.4.4维护版本更新发布
面向所有支持的桌面平台,文档基金会今天发布了LibreOffice 6.4.4生产力套件更新。由于是第四个维护......
日期:05-22
微软正式宣布推出Remote Desktop远程桌面网页版
微软现在宣布了Remote Desktop远程桌面Web客户端的公众预览版,允许用户从浏览器访问虚拟化的应用程......
日期:04-01
Windows 10 on ARM将于五月支持64位应用
2016年12月的时候,微软和高通首次宣布了将为基于骁龙处理器的 Windows 10 PC 引入 x86应用运行支持......
日期:04-06
微软官宣:Chromium Edge浏览器Linux版即将发布
9 月份,我们曾报道“微软意图将新版Edge浏览器引入Linux”,Edge 团队制作了一份调查问......
日期:11-06
谷歌Chrome浏览器v70上线:同步方式改变,新增AV1解码器
10月17日消息 谷歌今天发布了Chrome浏览器的最新版本 70.0.3538.67(正式版本)。今天发布的最令人期......
日期:10-17
WPS Mac版本重要更新,开启高效办公
凭借设计精美、高效便携的特性,苹果Mac系列电脑渐渐成为了很多人在选购电脑时优先考虑的产品。但过......
日期:08-29
愚人节防骗手册待查收,小心“整蛊玩笑”变电信网络诈骗
一年一度的愚人节到了,朋友同事之间开启了“整人”较量。愚人节是从19世纪开始在西方兴......
日期:04-01
Win10搜索出大问题:加载超时错误 重启也无效!附暂时解决办法
据外媒最新报道称,多名用户报告称Windows 10系统中的Windows Search搜索结果中出现了“This i......
日期:05-13
戴尔发布Win10应用Mobile Connect:在电脑上无线镜像手机屏幕
近日,戴尔在Win10商店上线了一款名为Mobile Connect的应用,正如其名,这是一款将手机屏幕镜像到电......
日期:10-29
国产统一操作系统UOS现已支持一键指纹解锁
1月3日消息 统信软件今日表示,近日,统一操作系统UOS与杭州晟元数据安全技术股份有限公司完成兼容......
日期:01-03
报表控件ActiveReports V14.0发布:全面支持 .Net Core!
近期,葡萄城报表控件ActiveReports V14.0 正式发布,全面支持 .NET Core平台。同时,本次更新 Acti......
日期:01-02
酷狗又曝黑科技让音乐分享动起来!
没有几个黑科技,哪好意思出来玩音乐?作为业内领先的音乐平台,酷狗音乐不但歌多,黑科技也特别多。......
日期:09-14
微软 Edge 比其他浏览器具有更多侵犯隐私的遥测
来自爱尔兰都柏林三一学院的计算机科学与统计学院的Douglas J Leith 团队近期进行了一项研究,分别......
日期:03-11
Intel 9代酷睿官方PPT曝光?8核i9风冷5GHz、钎焊散热
Intel今年底之前有望更新多个平台的CPU产品,包括普通桌面级的“Core 9000”(9代酷睿?)、......
日期:08-17
十大信创领军企业联袂出席 奇安信可信浏览器开辟政企市场新赛道
4月2日,国内最大的网络安全公司奇安信通过蓝信平台举行了线上发布会,正式发布了奇安信可信浏览器......
日期:04-02
惊喜!微软全新Windows系统曝光
为了挑战谷歌的操作系统Chrome OS,微软之前不是没努力过,比如曾开发Windows RT,还曾利用Windows 10 S围剿Chromebook,不过最终...
日期:12-05
Firefox 火狐浏览器 78 放弃对多个 macOS 版本的支持
Firefox 77 已面向所有用户推出。而随着 Mozilla 开发节奏的加快,预计 Firefox 78 也将在本月底进......
日期:06-05
Windows 10补丁KB4517210发布,升级1903版本更顺畅了
9月29日消息 Windows 10版本1903(2019年5月更新)正式准备进行大规模部署推送,并且微软现在正在推出......
日期:09-29
MicroStrategy 2019每时每刻为企业决策赋能
2019 年 1 月14日,北京——全球领先的企业级分析和移动应用软件领导者微策略MicroStrate......
日期:01-14