8 月 10 日 , 安全研究員在 Windows�����,Mac 和 Android 的基于 Chromium 的瀏覽器(Chrome����,Opera 和 Edge)中發(fā)現(xiàn)了零日 CSP 繞過漏洞(CVE-2020-6519)。該漏洞使攻擊者可以完全繞過 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 規(guī)則 , 潛在受影響的用戶為數(shù)十億��,其中 Chrome 擁有超過 20 億用戶�。以下是漏洞詳情:
漏洞詳情
零日 CSP 繞過漏洞(CVE-2020-6519)
“零日漏洞”(zero-day)又叫零時(shí)差攻擊,是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞�。通俗地講,即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)�,相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性��。
CSP 指的是內(nèi)容安全策略 , 是由萬維網(wǎng)聯(lián)盟 (WWW)定義的一種功能�,它是指導(dǎo)瀏覽器強(qiáng)制執(zhí)行某些客戶端策略的 Web 標(biāo)準(zhǔn)的一部分。利用 CSP 規(guī)則�����,網(wǎng)站可以指示瀏覽器阻止或允許特定請(qǐng)求,包括特定類型的 JavaScript 代碼執(zhí)行����。這樣可以確保為站點(diǎn)訪問者提供更強(qiáng)的安全性,并保護(hù)他們免受惡意腳本的攻擊���。開發(fā)人員使用 CSP 保護(hù)其應(yīng)用程序免受 Shadow Code 注入漏洞和跨站點(diǎn)腳本的攻擊(XSS)��,并降低其應(yīng)用程序執(zhí)行的特權(quán)����。Web 應(yīng)用程序所有者為他們的站點(diǎn)定義 CSP 策略��,然后由瀏覽器實(shí)施���。大多數(shù)常見的瀏覽器(包括 Chrome,Safari��,F(xiàn)irefox 和 Edge)都支持 CSP��,并且在保護(hù)客戶端執(zhí)行 Shadow Code 方面至關(guān)重要�。
攻擊者訪問 Web 服務(wù)器,并在 javascript 中添加 frame-src 或 child-src 指令以允許注入的代碼加載并執(zhí)行它�,從而繞過 CSP 強(qiáng)制執(zhí)行���,這樣就輕而易舉地繞過站點(diǎn)的安全策略。
該漏洞是在 Chrome 中發(fā)現(xiàn)的�����,Chrome 是當(dāng)今使用最廣泛的瀏覽器�����,擁有超過 20 億用戶��,并且在瀏覽器市場(chǎng)中所占的比重超過 65%�,因此影響是巨大的。CSP 是網(wǎng)站所有者用來強(qiáng)制執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意的 Shadow Code 的主要方法���,因此����,當(dāng)繞過瀏覽器強(qiáng)制執(zhí)行時(shí)�����,個(gè)人用戶數(shù)據(jù)將受到威脅。
除了少數(shù)由于服務(wù)器端控制的增強(qiáng) CSP 策略而不受此漏洞影響的網(wǎng)站之外��,許多網(wǎng)站還容易受到 CSP 繞過和潛在惡意腳本執(zhí)行的影響���。這些網(wǎng)站包括世界上一些知名大網(wǎng)站�����,例如 Facebook�,Wells Fargo�,Zoom,Gmail��,WhatsApp����,Investopedia,ESPN�����,Roblox���,Indeed,TikTok,Instagram��,Blogger 和 Quora����。再加上攻擊者越來越容易獲得未經(jīng)授權(quán)的 Web 服務(wù)器訪問權(quán)限時(shí),此 CSP 繞過漏洞可能會(huì)導(dǎo)致大量數(shù)據(jù)泄露�。據(jù)估計(jì) , 惡意代碼植入其中 , 跨行業(yè)(包括電子商務(wù),銀行����,電信,政府和公用事業(yè))的數(shù)千個(gè)站點(diǎn)在黑客設(shè)法注入的情況下沒有受到保護(hù)�����。這意味著數(shù)十億用戶有可能遭受繞過站點(diǎn)安全策略的惡意代碼破壞其數(shù)據(jù)的風(fēng)險(xiǎn)�。
受影響產(chǎn)品及版本
此漏洞影響 Chrome 84 版之前版本
解決方案
此漏洞由 Chrome 84 或更高版本修復(fù)
最后建議
由于該漏洞在 Chrome 瀏覽器中已經(jīng)存在了一年多,因此尚不清楚其全部含義��。在未來幾個(gè)月中��,我們很有可能會(huì)了解到數(shù)據(jù)泄露�,這些數(shù)據(jù)被利用并導(dǎo)致出于惡意目的而泄露個(gè)人身份信息(PII)。但是����,采取行動(dòng)還為時(shí)不晚��。建議如下:
1. 考慮添加其他安全性層����,例如隨機(jī)數(shù)或哈希�����。這將需要一些服務(wù)器端實(shí)現(xiàn)�。
2. 僅 CSP 對(duì)大多數(shù)網(wǎng)站而言還不夠,因此���,請(qǐng)考慮添加其他安全層
3. 考慮基于 JavaScript 的影子代碼檢測(cè)和監(jiān)視�,以實(shí)時(shí)緩解網(wǎng)頁代碼注入�。
4. 確保您的 Chrome 瀏覽器版本為 84 或更高版本。
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議����,請(qǐng)謹(jǐn)慎對(duì)待����。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)�。
京公網(wǎng)安備 11010502041587號(hào)