谷歌的Chrome瀏覽器中存在安全漏洞，攻擊者可利用該漏洞繞過網(wǎng)絡(luò)的內(nèi)容安全策略(CSP)，進(jìn)而竊取用戶數(shù)據(jù)并執(zhí)行流氓代碼。

PerimeterX網(wǎng)絡(luò)安全研究人員Gal Weizman表示，該漏洞編號(hào)為CVE-2020-6519，存在于Windows、Mac和安卓的Chrome、Opera和Edge瀏覽器中，潛在影響用戶多達(dá)十億。

其中，Chrome的73版本(2019年3月)到83版本均會(huì)受到影響，84版本已在7月發(fā)布，并修復(fù)了該漏洞。

Chrome瀏覽器擁有超過20億用戶，并且占瀏覽器市場的65%以上。

CSP是一種Web標(biāo)準(zhǔn)，旨在阻止某些攻擊，比如跨站點(diǎn)腳本(XSS)和數(shù)據(jù)注入攻擊。

CSP允許Web管理員指定瀏覽器將其視為可執(zhí)行腳本的有效源的域。

然后，與CSP兼容的瀏覽器將僅執(zhí)行從這些域接收的源文件中加載的腳本。

對(duì)此，Weizman在報(bào)告中表示：“CSP是網(wǎng)站所有者用來執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意影子代碼的主要方法，因此當(dāng)繞過瀏覽器執(zhí)行時(shí)，個(gè)人用戶數(shù)據(jù)將面臨風(fēng)險(xiǎn)。”目前，大多數(shù)網(wǎng)絡(luò)均使用CSP策略，比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互聯(lián)網(wǎng)巨頭。

當(dāng)然，也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不會(huì)受此次漏洞的影響。

Chrome的CSP強(qiáng)制執(zhí)行機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞，因?yàn)楣粽哌€需要設(shè)法從該網(wǎng)站獲取惡意腳本。

網(wǎng)站信任的安全機(jī)制存在漏洞，安全機(jī)制原本可以對(duì)第三方腳本執(zhí)行更嚴(yán)格的策略，但是因?yàn)槁┒磿?huì)讓網(wǎng)站認(rèn)為他們是安全的而允許他們通過。

攻擊者利用該漏洞獲取Web服務(wù)器權(quán)限(通過暴破密碼或者其他方式)并修改JavaScript利用代碼。

在JavaScipt中增加 frame-src或者child-src指令，攻擊者利用這種方式饒過CSP策略執(zhí)行、繞過網(wǎng)站安全規(guī)則。

經(jīng)驗(yàn)證后，該漏洞的威脅程度為中等(6.5分)，然而，因?yàn)樵撀┒瓷婕癈SP策略執(zhí)行，所以影響很廣。

網(wǎng)站開發(fā)人員允許第三方腳本修改支付頁面，比如知道CSP會(huì)限制敏感信息，所以破壞或者繞過CSP，便可以竊取用戶敏感信息比如支付密碼等。

這無疑給網(wǎng)站用戶的信息安全帶來很大的風(fēng)險(xiǎn)。

該漏洞在Chrome瀏覽器中存在超過一年了，目前該漏洞已經(jīng)修復(fù)。

但是該漏洞的后續(xù)影響尚不明確，一旦遭到利用，用戶數(shù)據(jù)遭竊取用于非法途徑，后果將不堪設(shè)想。

在報(bào)告中還可以看到安全研究人員測試瀏覽器或者網(wǎng)站是否容易受到該漏洞影響的過程，創(chuàng)建一個(gè)簡單的腳本，當(dāng)通過devtools控制臺(tái)執(zhí)行該腳本時(shí)，可以測試所有這些網(wǎng)站，該腳本將立即通知當(dāng)前的瀏覽器/網(wǎng)站是否由于CSP/Old Chrome配置錯(cuò)誤而受到CVE-2020-6519的攻擊。

以下以測試后的三種結(jié)果：(1) 瀏覽器和網(wǎng)站容易受到攻擊：(2) 瀏覽器易受攻擊，但網(wǎng)站不易受攻擊：:(3) 瀏覽器不容易受到攻擊：:因此，用戶可從以下幾個(gè)方面做好安全防護(hù)措施：確保CSP策略定義正確。

考慮添加其他安全性層，例如nonces或hashs，這將需要在一些服務(wù)器端實(shí)現(xiàn)僅CSP對(duì)大多數(shù)網(wǎng)站而言還不夠，因此，請(qǐng)考慮添加其他安全層。

考慮基于JavaScript的影子代碼檢測和監(jiān)視，以實(shí)時(shí)緩解網(wǎng)頁代碼注入確保Chrome瀏覽器版本為84或更高版本。