首页 文章资讯 Chrome等浏览器发现高危漏洞,请尽快升级新版本!

Chrome等浏览器发现高危漏洞,请尽快升级新版本!

发布者 : okay

1300

2020-08-12

8月10日,国外安全机构PerimeterX发布最新报告称,安全研究员在基于Chromium内核开发的浏览器(Chrome,Opera和Edge)中发现了零日CSP绕过漏洞(CVE-2020-6519),Safari也受到部分影响。


安全人员估计,根据基于Chromium内核的浏览器用户数,此次漏洞的潜在受影响用户为数十亿,其中光是谷歌浏览器就有超过20亿用户。


而这些受到影响的用户,极易被攻击者窃取数据和执行恶意代码,安全机构已将该问题的严重等级评为“高”。




受影响产品及解决方法


该漏洞最早是在谷歌浏览器中发现的,此漏洞影响Chrome 84版(2020年7月发布)之前的大部分版本。


简而言之,该漏洞使攻击者可以完全绕过Chrome 73版(2019年3月发布)至Chrome 83版(2020年5月发布)的CSP规则,使用户数据面临被盗的危险。




除Chrome以外,基于Chromium内核开发的浏览器包括Edge、Opera,以及Safari中也发现了此漏洞。


所影响的平台包含Windows,Mac和Android,范围十分广泛。


因此,如果你仍在使用Chrome 73版至Chrome 83版之间的任何一个浏览器,请尽快更新至已修复CVE-2020-6519漏洞的Chrome 84版本。


对于Apple用户,所有低于13.1.2的Safari版本也都具有较高的风险。



据悉,该项漏洞已经存在于Chrome浏览器至少一年以上,直到最近才获得彻底修复。


其造成的影响目前仍不为人知,暂未有黑客利用该漏洞发动恶意攻击的事件传出。


漏洞详情


零日CSP绕过漏洞(CVE-2020-6519)


“零日漏洞(zero-day)”又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。


通俗地讲,就是在安全漏洞曝光的同一日内,利用此漏洞的相关恶意程序就出现了。


因此,“零日漏洞”攻击往往具有很大的突发性与破坏性。




而作为一项Web标准,内容安全策略(CSP)就是旨在阻止某些类型的攻击,比如跨站脚本(XSS)和数据注入(data-injection)。


这样一来,就可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。


大多数常见的浏览器,包括Chrome,Safari,Firefox和Edge都支持CSP,它在浏览器安全防护方面至关重要。


当恶意程序绕过浏览器CSP强制执行时,用户的个人数据就将受到威胁,导致大量数据泄露。




此次在Chrome浏览器中发现的漏洞,正是通过某种方式绕过了CSP强制执行。它可以使远程攻击者访问用户的敏感信息。攻击者还可以利用这些漏洞在目标系统上发起拒绝服务(DoS)攻击。


如果恶意代码植入银行,电信,政府和公用事业的站点,当设备不幸中招时,事故造成的损害将非常严重。


更糟糕的是,这个漏洞已在Chrome浏览器中存在了一年以上,直到近日才得到彻底修复。

最后建议


由于该漏洞在Chrome等浏览器中已经存在了一年多,所以在未来几个月中,我们很有可能会收到某些关于网站数据泄露的报告。


作为一名普通用户,我们能做的,就是将自己的浏览器更新到最新版本。


Chrome更新方式:地址栏输入chrome://settings/help并回车,浏览器将自动完成更新。



分享

全部评论

    展开更多评论

    扩展迷QQ交流群

    错误提示保存失败
    成功提示保存成功
    close
    qr-code

    为打击盗链困扰,本站已启用公众号验证
    微信扫码关注上方公众号,回复“插件”二字获得验证码,验证码5分钟内全站有效。

    正在验证
    验证成功
    下载遇到问题?请添加QQ群:398095333
    close
    qr-code

    为打击盗链困扰,本站已启用公众号验证
    微信扫码关注上方公众号,回复“脚本”二字获得验证码,验证码5分钟内全站有效。

    正在验证
    验证成功