谷歌的Chrome瀏覽器中存在安全漏洞�,攻擊者可利用該漏洞繞過(guò)網(wǎng)絡(luò)的內(nèi)容安全策略(CSP)����,進(jìn)而竊取用戶數(shù)據(jù)并執(zhí)行流氓代碼����。
PerimeterX網(wǎng)絡(luò)安全研究人員Gal Weizman表示���,該漏洞編號(hào)為CVE-2020-6519�,存在于Windows����、Mac和安卓的Chrome、Opera和Edge瀏覽器中���,潛在影響用戶多達(dá)十億。
其中�,Chrome的73版本(2019年3月)到83版本均會(huì)受到影響�,84版本已在7月發(fā)布���,并修復(fù)了該漏洞�。
Chrome瀏覽器擁有超過(guò)20億用戶,并且占瀏覽器市場(chǎng)的65%以上�。
CSP是一種Web標(biāo)準(zhǔn)���,旨在阻止某些攻擊���,比如跨站點(diǎn)腳本(XSS)和數(shù)據(jù)注入攻擊�。
CSP允許Web管理員指定瀏覽器將其視為可執(zhí)行腳本的有效源的域。
然后�,與CSP兼容的瀏覽器將僅執(zhí)行從這些域接收的源文件中加載的腳本����。
對(duì)此����,Weizman在報(bào)告中表示:“CSP是網(wǎng)站所有者用來(lái)執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意影子代碼的主要方法,因此當(dāng)繞過(guò)瀏覽器執(zhí)行時(shí)����,個(gè)人用戶數(shù)據(jù)將面臨風(fēng)險(xiǎn)����。”目前����,大多數(shù)網(wǎng)絡(luò)均使用CSP策略���,比如ESPN�、Facebook、Gmail、Instagram、TikTok����、WhatsApp�、Wells Fargo和Zoom等互聯(lián)網(wǎng)巨頭�。
當(dāng)然,也有如GitHub、Google Play商店、LinkedIn����、PayPal���、Twitter�、Yahoo和Yandex等不會(huì)受此次漏洞的影響�。
Chrome的CSP強(qiáng)制執(zhí)行機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞,因?yàn)楣粽哌€需要設(shè)法從該網(wǎng)站獲取惡意腳本。
網(wǎng)站信任的安全機(jī)制存在漏洞�,安全機(jī)制原本可以對(duì)第三方腳本執(zhí)行更嚴(yán)格的策略����,但是因?yàn)槁┒磿?huì)讓網(wǎng)站認(rèn)為他們是安全的而允許他們通過(guò)���。
攻擊者利用該漏洞獲取Web服務(wù)器權(quán)限(通過(guò)暴破密碼或者其他方式)并修改JavaScript利用代碼�。
在JavaScipt中增加 frame-src或者child-src指令,攻擊者利用這種方式饒過(guò)CSP策略執(zhí)行、繞過(guò)網(wǎng)站安全規(guī)則�。
經(jīng)驗(yàn)證后�,該漏洞的威脅程度為中等(6.5分)�,然而,因?yàn)樵撀┒瓷婕癈SP策略執(zhí)行���,所以影響很廣。
網(wǎng)站開(kāi)發(fā)人員允許第三方腳本修改支付頁(yè)面,比如知道CSP會(huì)限制敏感信息�,所以破壞或者繞過(guò)CSP,便可以竊取用戶敏感信息比如支付密碼等����。
這無(wú)疑給網(wǎng)站用戶的信息安全帶來(lái)很大的風(fēng)險(xiǎn)�。
該漏洞在Chrome瀏覽器中存在超過(guò)一年了����,目前該漏洞已經(jīng)修復(fù)。
但是該漏洞的后續(xù)影響尚不明確����,一旦遭到利用����,用戶數(shù)據(jù)遭竊取用于非法途徑����,后果將不堪設(shè)想。
在報(bào)告中還可以看到安全研究人員測(cè)試瀏覽器或者網(wǎng)站是否容易受到該漏洞影響的過(guò)程����,創(chuàng)建一個(gè)簡(jiǎn)單的腳本���,當(dāng)通過(guò)devtools控制臺(tái)執(zhí)行該腳本時(shí)���,可以測(cè)試所有這些網(wǎng)站����,該腳本將立即通知當(dāng)前的瀏覽器/網(wǎng)站是否由于CSP/Old Chrome配置錯(cuò)誤而受到CVE-2020-6519的攻擊。
以下以測(cè)試后的三種結(jié)果:(1) 瀏覽器和網(wǎng)站容易受到攻擊:(2) 瀏覽器易受攻擊,但網(wǎng)站不易受攻擊::(3) 瀏覽器不容易受到攻擊::因此,用戶可從以下幾個(gè)方面做好安全防護(hù)措施:確保CSP策略定義正確����。
考慮添加其他安全性層,例如nonces或hashs����,這將需要在一些服務(wù)器端實(shí)現(xiàn)僅CSP對(duì)大多數(shù)網(wǎng)站而言還不夠���,因此�,請(qǐng)考慮添加其他安全層����。
考慮基于JavaScript的影子代碼檢測(cè)和監(jiān)視,以實(shí)時(shí)緩解網(wǎng)頁(yè)代碼注入確保Chrome瀏覽器版本為84或更高版本����。
