Chrome等浏览器发现高危漏洞,请尽快升级新版本!

8月10日,国外安全机构PerimeterX发布最新报告称,安全研究员在基于Chromium内核开发的浏览器(Chrome,Opera和Edge)中发现了零日CSP绕过漏洞(CVE-2020-6519),Safari也受到部分影响。

8月10日,国外安全机构PerimeterX发布最新报告称,安全研究员在基于Chromium内核开发的浏览器(Chrome,Opera和Edge)中发现了零日CSP绕过漏洞(CVE-2020-6519),Safari也受到部分影响。


安全人员估计,根据基于Chromium内核的浏览器用户数,此次漏洞的潜在受影响用户为数十亿,其中光是谷歌浏览器就有超过20亿用户。


而这些受到影响的用户,极易被攻击者窃取数据和执行恶意代码,安全机构已将该问题的严重等级评为“高”。




受影响产品及解决方法


该漏洞最早是在谷歌浏览器中发现的,此漏洞影响Chrome 84版(2020年7月发布)之前的大部分版本。


简而言之,该漏洞使攻击者可以完全绕过Chrome 73版(2019年3月发布)至Chrome 83版(2020年5月发布)的CSP规则,使用户数据面临被盗的危险。




除Chrome以外,基于Chromium内核开发的浏览器包括Edge、Opera,以及Safari中也发现了此漏洞。


所影响的平台包含Windows,Mac和Android,范围十分广泛。


因此,如果你仍在使用Chrome 73版至Chrome 83版之间的任何一个浏览器,请尽快更新至已修复CVE-2020-6519漏洞的Chrome 84版本。


对于Apple用户,所有低于13.1.2的Safari版本也都具有较高的风险。



据悉,该项漏洞已经存在于Chrome浏览器至少一年以上,直到最近才获得彻底修复。


其造成的影响目前仍不为人知,暂未有黑客利用该漏洞发动恶意攻击的事件传出。


漏洞详情


零日CSP绕过漏洞(CVE-2020-6519)


“零日漏洞(zero-day)”又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。


通俗地讲,就是在安全漏洞曝光的同一日内,利用此漏洞的相关恶意程序就出现了。


因此,“零日漏洞”攻击往往具有很大的突发性与破坏性。




而作为一项Web标准,内容安全策略(CSP)就是旨在阻止某些类型的攻击,比如跨站脚本(XSS)和数据注入(data-injection)。


这样一来,就可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。


大多数常见的浏览器,包括Chrome,Safari,Firefox和Edge都支持CSP,它在浏览器安全防护方面至关重要。


当恶意程序绕过浏览器CSP强制执行时,用户的个人数据就将受到威胁,导致大量数据泄露。




此次在Chrome浏览器中发现的漏洞,正是通过某种方式绕过了CSP强制执行。它可以使远程攻击者访问用户的敏感信息。攻击者还可以利用这些漏洞在目标系统上发起拒绝服务(DoS)攻击。


如果恶意代码植入银行,电信,政府和公用事业的站点,当设备不幸中招时,事故造成的损害将非常严重。


更糟糕的是,这个漏洞已在Chrome浏览器中存在了一年以上,直到近日才得到彻底修复。

最后建议


由于该漏洞在Chrome等浏览器中已经存在了一年多,所以在未来几个月中,我们很有可能会收到某些关于网站数据泄露的报告。


作为一名普通用户,我们能做的,就是将自己的浏览器更新到最新版本。


Chrome更新方式:地址栏输入chrome://settings/help并回车,浏览器将自动完成更新。



本站文章均为原创,版权归本站所有,如需转载或引用请注明出处如:“本文章转载自:

Chrome等浏览器发现高危漏洞,请尽快升级新版本! - Extfans”

上一篇:Media Helper插件,一键下载Instagram图片视频,高清无损

下一篇:TrumpFilter插件,把特朗普从互联网上屏蔽