IT外包专家,谷歌chrome浏览器必须发现漏洞并尽快升级到84或更高版本

发布者:上海IT外包来源:http://www.lanmon.net点击数:2129

蓝盟IT小贴士,来喽!
零日CSP旁路漏洞(CVE-2020-6519 )
“零日脆弱性”(zero-day  )也称为时差零攻击,是指刚被发现就被恶意使用的安全脆弱性。 一般来说,在安全补丁和缺陷曝光的同一天,会出现相关的恶意程序。 这种攻击常常具有很大的突发性和破坏性。
CSP是一种内容安全策略,由worldwideweballiance  (www  )定义,是指示浏览器应用特定客户端策略的web标准的一部分。 使用CSP规则,网站可以指示浏览器阻止或允许特定请求,包括执行特定类型的JavaScript代码。 这增强了站点访问者的安全性,并防止了恶意脚本攻击。 开发人员使用CSP保护应用程序免受Shadow  Code漏洞和站点间脚本攻击(XSS  ),降低应用程序的执行权限。 Web应用程序所有者定义站点的CSP策略并在浏览器中实现。 大多数常用浏览器(Chrome、Safari、Firefox、Edge等)都支持CSP,对于保护客户端和运行阴影代码非常重要。
攻击者可以访问Web服务器,将frame-src或child-src命令添加到javascript中,以允许加载和执行注入的代码,从而绕过CSP强制执行,并轻松绕过站点安全策略。
这个脆弱性是在Chrome发现的,Chrome是现在使用最广泛的浏览器,拥有20亿人以上的用户,在浏览器市场中所占的比例超过65%,因此影响很大。 由于CSP是网站所有者实施数据安全策略以防止网站运行恶意阴影代码的主要方法,因此绕过浏览器运行会对个人用户数据造成威胁。

很多网站很容易受到CSP绕过和潜在的恶意脚本执行的影响,以及少数不受服务器端控制的增强CSP策略影响的网站。 这些网站包括Facebook、Wells  Fargo、Zoom、Gmail、WhatsApp、Investopedia、ESPN、Roblox、Indeed、TikTok等全球知名网站,还有攻击者不在嵌入了恶意代码,估计整个行业(包括电子商务、银行、电信、政府和公共事业)的数千个网站即使被黑客注入也不受保护。 也就是说,数十亿用户绕过站点安全策略的恶意代码可能会导致数据损坏。

文/上海蓝盟   IT外包专家

IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部