首页 > 动态 > 关键词  > 谷歌浏览器最新资讯  > 正文

谷歌Chrome浏览器发现漏洞 需尽快升至 84 及以上版本

2020-08-11 14:07 · 稿源: TechWeb

8 月 10 日 , 安全研究员在 Windows,Mac 和 Android 的基于 Chromium 的浏览器(Chrome,Opera 和 Edge)中发现了零日 CSP 绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 规则, 潜在受影响的用户为数十亿,其中 Chrome 拥有超过 20 亿用户。以下是漏洞详情:

漏洞详情

零日 CSP 绕过漏洞(CVE-2020-6519)

“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

CSP 指的是内容安全策略 , 是由万维网联盟 (WWW)定义的一种功能,它是指导浏览器强制执行某些客户端策略的 Web 标准的一部分。利用 CSP 规则,网站可以指示浏览器阻止或允许特定请求,包括特定类型的 JavaScript 代码执行。这样可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。开发人员使用 CSP 保护其应用程序免受 Shadow Code 注入漏洞和跨站点脚本的攻击(XSS),并降低其应用程序执行的特权。Web 应用程序所有者为他们的站点定义 CSP 策略,然后由浏览器实施。大多数常见的浏览器(包括 Chrome,Safari,Firefox 和 Edge)都支持 CSP,并且在保护客户端执行 Shadow Code 方面至关重要。

攻击者访问 Web 服务器,并在 javascript 中添加 frame-src 或 child-src 指令以允许注入的代码加载并执行它,从而绕过 CSP 强制执行,这样就轻而易举地绕过站点的安全策略。

该漏洞是在 Chrome 中发现的,Chrome 是当今使用最广泛的浏览器,拥有超过 20 亿用户,并且在浏览器市场中所占的比重超过 65%,因此影响是巨大的。CSP 是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的 Shadow Code 的主要方法,因此,当绕过浏览器强制执行时,个人用户数据将受到威胁。

除了少数由于服务器端控制的增强 CSP 策略而不受此漏洞影响的网站之外,许多网站还容易受到 CSP 绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些知名大网站,例如 Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger 和 Quora。再加上攻击者越来越容易获得未经授权的 Web 服务器访问权限时,此 CSP 绕过漏洞可能会导致大量数据泄露。据估计 , 恶意代码植入其中 , 跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据的风险。

受影响产品及版本

此漏洞影响 Chrome 84 版之前版本

解决方案

此漏洞由 Chrome 84 或更高版本修复

最后建议

由于该漏洞在 Chrome 浏览器中已经存在了一年多,因此尚不清楚其全部含义。在未来几个月中,我们很有可能会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。但是,采取行动还为时不晚。建议如下:

1. 考虑添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。

2. 仅 CSP 对大多数网站而言还不够,因此,请考虑添加其他安全层

3. 考虑基于 JavaScript 的影子代码检测和监视,以实时缓解网页代码注入。

4. 确保您的 Chrome 浏览器版本为 84 或更高版本。

  • 相关推荐
  • 大家在看
  • 腾讯云服务器12.12限时秒杀-1核2G首年50元

    腾讯云服务器12.12多种机型限时抢购,1核2G服务器4.17元/月,2核4G服务器6.17元/月,专业技术7*24小时在线服务,腾讯云为企业和个人提供快捷,安全,稳定的云服务!

    广告
  • 苹果搜歌神器Shazam推出Chrome浏览器扩展

    据国外媒体报道,苹果公司在2021年底悄悄为Chrome浏览器用户推出了一个Shazam扩展程序,Shazam是一个音乐识别服务,可识别正在播放的歌曲。

  • Google Chrome浏览器新下载界面首次出现

    几天前,我们报道了Google浏览器正在获得一个新的下载界面,使其与微软Edge提供的下载体验更加一致。基本上,即将实施的方案包括将下载信息从浏览器底部(目前在Chrome稳定版中的位置)移到浏览器工具条上,紧挨着全局设定按钮。看来,焦急地期待这一变化的Chrome用户不必等待太长时间,因为Google已经开始在Chrome Canary中构建和测试这一功能。正如目光敏锐的Redditor u/Leopeva64-2所发现的,现在已经可以在Chrome Canary的工具

  • 苹果Shazam音乐识别服务推出Chrome浏览器扩展

    苹果公司在2021年底悄悄为Chrome用户发布了一个新的Shazam扩展,可用于识别正在播放的音乐服务...当扩展程序识别出一首歌曲时,它会打开一个在AppleMusic中播放的选项...Shazam扩展提供了对Shazam歌曲历史的访问,因此Chrome用户可以访问他们识别的历史歌曲,它还为AppleMusic用户提供了歌词、音乐视频等...除了在Shazam网站上,苹果没有为Shazam扩展做广告,9to5Google推测,这可能是因为该扩展存在问题...

  • 谷歌浏览器Chrome 100即将发布:部分网站将面临报错问题

    谷歌Chrome是全球第一大浏览器,各种好用就不说了,但是版本号刷新太快了,现在测试版都上99.0了,明年初就要有Crhome 100.0版本问题,三位数的版本号有可能导致部分网站出现问题,因为CMS系统不支持。谷歌Chrome浏览器有正式版及测试版两个路线,前者目前最新的是97.X版,测试版Chrome上了99.0了,预计明年初就能上三位数,是三大浏览器(还有FF及Edge)中第一个突破100版本号的。三位数的浏览器版本号对用户来说没什么问题,但对

  • Chrome版本号达100!编号太长导致网站无法识别 谷歌:将进行修复

    近日,谷歌Chrome浏览器正式开始测试100版本,作为第一个版本号突破三位数的浏览器,Chrome遇到了一些意想不到的问题。据悉,通过Chrome 100浏览网站,有一定的概率会导致网站无法正常识别浏览器版本,导致用户无法正常使用网页,当前谷歌表示这一问题主要出现在利用Duda开发的网站,并已经开始进行修复。这一问题的原因其实非常简单,大部分的网站都是通过检查User Agent string(用户代理字符串)来确定用户的浏览器版本,而在Ch

  • 微软Edge同款设计:谷歌Chrome重新制作下载界面

    此前,就有消息称谷歌在重新设计Chrome浏览器的下载界面,而近日,一组截图展示了Chrome神似Edge的新下载界面。在修改前,当用户在Chrome下载时,会在界面的最下方显示下载进度,并有暂停、取消、下载完成后打开和始终打开某种文件类型的选项,这一设计已经被沿用了多年。而新的下载界面在下载文件时会在工具栏中显示下载图标,并在图标周围显示下载进度,这一设计与微软当前在Edge浏览器中采用的设计较为相似。但需要注意的是,在

  • 谷歌自卖自夸 称Chrome OS是全球发展最的操作系统

    虽然在国内没什么存在感,但谷歌除了安卓OS之外还有Chrome OS系统,在美国及部分国家非常受欢迎,搭载Chrome OS的Chromebook笔记本称霸美国教育市场,这也让Chrome OS被谷歌称为全球发展最快的操作系统。根据谷歌的博客,安卓应用在Chrome OS系统上的使用量同比增长了50%,5月份的时候Chrome OS的用户量比去年同期提升了92%,速度是PC市场的5倍,Chrome OS称为全球发展最快的操作系统。谷歌近年来一直在改进Chrome OS系统的大屏体?

  • Safari浏览器曝出API漏洞 可泄露浏览数据和用户身份

    然而该软件却曝出了处理 IndexedDB API 时的一个漏洞,或导致签署努力功亏一篑、泄露与用户浏览习惯相关的隐私信息...每当网站与其数据库交互时,处于同一浏览器会话中的所有其它活动框架、选项卡、以及窗口,都会创建一个使用相同名称的新空数据库...macOS 用户可临时选用其它浏览器(Google Chrome / Mozilla Firefox 等),但 iOS / iPadOS 用户就没有那么幸运了,只能等待苹果和 WebKit 开发团队在下一版更新中修复......

  • Chrome 97正式发布下载:被苹果、火狐抵制的功能上线

    本周三,谷歌发布了Chrome 97正式版或者说稳定版。次日,Chrome 98开启Beta测试,预计2月1日转正。事实上,Chrome 96稳定版发布已经是两个月前了,按照正常迭代节奏应该是每四周一更,但特殊的地方在于正好赶上西方节假日扎堆,包括感恩节、圣诞节等。回到Chrome 97上,新功能中的键盘API引发争议,即允许Web应用程序识别特殊的键盘布局。该功能虽说方便了,可这被苹果、Mazilla火狐等强烈抵制,原因是担忧暴露隐私,Safari和Firef

  • Google Chrome 97今天发布 包含由争议的键盘API功能

    Google Chrome96在近两个月前进入稳定频道,尽管目前的发布节奏意味着我们应该期待每四周就有一个新的版本,但由于西方的假日季节,Chrome97的情况并非如此。今天,Chrome 97终于来到稳定频道,其中一个值得注意的特点是键盘API中的一个新属性,这可以说是相当有争议的。此前一些网络应用如Excel、PowerPoint和Word无法使用键盘API来识别在特定的布局上按下了哪个键,如法语或英语。增加"键盘地图"值解决了这个问题,虽然网络开发?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天