该漏洞使攻击者可以绕过内容安全策略(CSP)保护,并从网站访问者那里窃取数据。
谷歌基于Chromium的浏览器中的漏洞将使攻击者可以绕过网站上的内容安全策略(CSP),从而窃取数据并执行流氓代码。
据PerimeterX网络安全研究人员Gal Weizman称,该漏洞(CVE-2020-6519)可在Windows,Mac和Android的Chrome,Opera和Edge中找到–可能影响数十亿网络用户。Chrome版本73(2019年3月)到83版本(84已在7月发布并修复了该问题)受到影响。
CSP是一种Web标准,旨在阻止某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。CSP允许Web管理员指定浏览器应将其视为可执行脚本的有效来源的域。然后,与CSP兼容的浏览器将仅执行从这些域接收的源文件中加载的脚本。
“ CSP是网站所有者用来执行数据安全策略以防止在其网站上执行恶意影子代码的主要方法,因此当绕过浏览器执行时,个人用户数据将面临风险,” Weizman 在发布的研究报告中解释说。
研究人员指出,大多数网站都使用CSP,包括ESPN,Facebook,Gmail,Instagram,TikTok,WhatsApp,Wells Fargo和Zoom等互联网巨头。一些著名的名称不受影响,包括GitHub,Google Play商店,LinkedIn,PayPal,Twitter,Yahoo的登录页面和Yandex。
要利用此漏洞,攻击者首先需要(通过暴力破解密码或其他方法)访问Web服务器,以便能够修改其使用的JavaScript代码。然后,攻击者可以在JavaScript中添加frame-src或child-src指令,以允许注入的代码加载并执行它,从而绕过CSP强制执行,从而绕过站点的策略,Weizman解释说。
由于该错误的验证后方面,它被列为中等严重性问题(在CvSS等级中,满分10分中有6.5分)。但是,由于它影响到CSP的执行,因此具有广泛的意义。”
研究人员说:“(由于)人们对安全性的认识提高了,当设备出现故障时,在事故中造成的损害要严重得多。” “以类似的方式,网站开发人员可以允许第三方脚本向其付款页面添加功能,例如,知道CSP将限制对敏感信息的访问。因此,当CSP发生故障时,依赖该站点的站点的风险可能会比该站点从未拥有CSP时要高。
该漏洞已在Chrome浏览器中存在一年以上,然后予以修复,因此Weizman警告说,该漏洞的全部影响尚不为人所知:“很可能在未来几个月内,我们将会了解到利用该漏洞的数据泄露情况并出于邪恶目的将个人身份信息(PII)泄露出去。”
用户应将其浏览器更新到最新版本,以免遭受攻击。
