深入剖析2023年的瀏覽器安全挑戰

近日Firefox用戶被敦促使用Mozilla的最新更新，來堵住一個可能允許攻擊者控制受影響系統的嚴重漏洞。在此之前，微軟Edge、谷歌Chrome和蘋果Safari瀏覽器都進行了類似的更新，所有這些瀏覽器都受到WebP代碼庫中一個漏洞的嚴重影響。

雖然WebP漏洞也影響其他軟件，但瀏覽器無疑是終端用戶設備上一種最普遍、最廣泛使用的應用程序，在受感染的瀏覽器中站穩腳跟，威脅分子就可以訪問敏感信息，并獲得潛入目標環境的潛在途徑。

本文深入探討了瀏覽器安全，介紹漏洞和漏洞利用工具、零日漏洞和N日漏洞之間的區別，并重點介紹2023年的幾大瀏覽器漏洞，討論了威脅分子如何通過瀏覽器軟件實施各種攻擊，末尾還附有幫助企業加強瀏覽器安全性的指南。

關鍵概念|漏洞與漏洞利用工具的區別

漏洞本質上是軟件、硬件或系統中可能被利用的弱點或缺陷，這些可能是因編碼錯誤、配置錯誤或設計缺陷而造成的，它們無意中為安全威脅敞開了大門。

漏洞可能存在于技術的方方面面，包括操作系統、應用程序、網絡協議，甚至是人類行為，不是每個漏洞都能被利用，也不是每個漏洞都會導致代碼執行或數據丟失。

惡意分子將漏洞轉化為漏洞利用工具的可能性和難易程度，以及該漏洞代碼工具可能被用來執行的操作，是理解漏洞嚴重性等級這個概念的一種非正規方式。可以在這里（https://nvd.nist.gov/vuln-metrics/cvss）找到對CVSS和漏洞度量指標的更正規的理解。

利用是主動利用漏洞實施惡意行為的行動。它包括利用已識別的弱點來獲得未經授權的訪問、破壞數據、擾亂服務或執行其他有害活動，利用表現為多種形式，比如代碼執行、特權升級、數據盜竊或者遠程控制受感染系統。

漏洞和利用是Web瀏覽器安全中兩個不同但又相互關聯的概念。雖然今天的Web瀏覽器代碼中可能存在許多漏洞，但并非所有漏洞都可以被利用或被威脅分子積極利用。

未修補漏洞|了解零日和N日漏洞

當攻擊者發現零日漏洞時，他們有機會在開發者意識到并發布安全補丁之前利用它。“零日”這個名字源于一個令人不安的事實，即由于開發者沒有意識到漏洞，他們沒有時間（零日）來修復，在一個未打補丁的漏洞被公之于眾后，從那時起，它常被稱為N日漏洞，其中N表示從發現到發布補丁的天數。

零日漏洞和N日漏洞都是機會窗口，讓網絡犯罪分子可以趁機破壞用戶數據、傳播惡意軟件或未經授權訪問系統，利用這些漏洞可能會產生深遠的后果，影響各種平臺上的大量用戶。Web瀏覽器中的零日漏洞是網絡安全最重要、最具挑戰性的方面之一。

2023年主要瀏覽器的被利用漏洞

WebP漏洞不是最近影響互聯網瀏覽器的唯一CVE。谷歌在2023年為Chrome增添的補丁包括針對以下漏洞：

?CVE-2023-2033（CVSS分數:8.8）—V8中的類型混淆

?CVE-2023-2136（CVSS分數:9.6）—Skia圖形庫中的整數溢出

?CVE-2023-3079（CVSS分數:8.8）—V8中的類型混淆

?CVE-2023-4863（CVSS分數:8.8）—WebP中的堆緩沖區溢出

?CVE-2023-5217（CVSS分數:8.8）—libvpx中vp8編碼的堆緩沖區溢出

與此同時，蘋果今年也針對WebKit（為Safari及其他Web應用程序提供支持的瀏覽器引擎）中相當數量的零日漏洞發布了補丁。

?今年2月，針對WebKit零日漏洞CVE-2023-23529發布了補丁，該漏洞被用于攻擊，以便在iPhone、iPad和Mac設備上執行代碼。

?4月，WebKit釋放后使用漏洞CVE-2023-28205被修補，以防止可能導致攻擊者在受損設備上執行代碼的漏洞。

?5月，三個WebKit漏洞CVE-2023-32409、CVE-2023-28204和CVE-2023-32373在被報告用于攻擊后得到了修補。

?7月，蘋果修補了WebKit中的CVE-2023-37450漏洞，該漏洞也被廣泛利用。

Mozilla在2023年也修補了多個漏洞，包括CVE-2023-34414、CVE-2023-34416、CVE-2023-4584/5以及Firefox 118中的嚴重漏洞CVE-2023-5217，最后一個漏洞與已知被大肆利用的libvpx（WebP）漏洞有關。

近日，微軟Edge同樣針對WebP漏洞打了補丁。此外，去年8月的補丁星期二還修復了兩個被大肆利用的零日漏洞：CVE-2023-36884和CVE-2023-38180，以及另外23個遠程代碼執行漏洞（其中6個被評為是“嚴重漏洞”）。

與其他許多流行的瀏覽器：Vivaldi、Brave和Opera一樣，Edge是一款基于Chromium的瀏覽器，所以谷歌Chrome中的許多同樣漏洞也適用于這些瀏覽器和Edge。

擴展和附件|擴大攻擊面

雖然瀏覽器本身是一個容易下手的攻擊面，但瀏覽器擴展、插件和附件也是惡意軟件（尤其是信息竊取器）的攻擊途徑。

比如說，隨著ChatGPT日益普及，威脅分子緊跟AI潮流，制作虛假的ChatGPT瀏覽器擴展，以劫持數千個Facebook企業賬戶，并傳播一個名為“快速訪問ChatGPT”的惡意信息竊取器。

一些下載網站中也發現了惡意擴展。今年6月，谷歌從Chrome Web商店中刪除了32個惡意擴展，這些擴展的下載量總計超過7500萬人次，這些鬼鬼祟祟的代碼不僅包含用戶期望的合法功能，還包含經過混淆處理的惡意代碼。在一個例子中，PDF工具箱擴展被用來將JavaScript注入到訪問擴展的每個網站用戶。雖然不清楚攻擊者的目的是什么，但這種技術可以用來劫持搜索結果，并注入惡意鏈接。

雖然谷歌已采取行動從其Web商店中刪除了已識別的擴展，但這種刪除并不會自動從瀏覽器中停用或卸載這些擴展。

瀏覽器小心|網站提供（虛假）Chrome更新

由于瀏覽器的使用如此廣泛和持續，它們也可能為社會工程活動提供很好的誘餌。威脅分子使用惡意或有毒的網站來欺騙用戶，讓他們以為瀏覽器需要更新才能查看網站，然后向用戶提供惡意下載，佯裝這是所需的更新。

在最近此類活動的一個例子中，安全研究人員發現了一種新的IDAT加載器，它被用來投放Stealc、Lumma和Amadey之類的信息竊取器。該活動謊稱自己是Chrome瀏覽器更新，將受害者重定向到另一個自動下載二進制文件的URL，在打開虛假的更新二進制文件“ChromeSetup.exe”之后，它進而下載下一階段的載荷。

插件和跨站腳本（XSS）漏洞

跨站腳本（XSS）是一種常見的Web應用程序安全漏洞，將惡意代碼注入到網站或Web應用程序中，然后將其提供給訪問該網站的其他用戶。XSS攻擊常通過Web瀏覽器來執行。

CVE-2023-30777于2023年5月被發現，這是WordPress高級自定義字段PRO插件（版本6.1.5及更早）中的一個漏洞。該漏洞允許攻擊者注入惡意腳本或其他HTML載荷，有人訪問包含這個高危插件的網站時，載荷就會執行。

XSS漏洞還允許攻擊者將惡意腳本（常用JavaScript編寫）注入到Web應用程序的輸入字段或用戶生成的其他內容區域。這些腳本可以隱藏在看起來無害的數據中，比如評論、搜索查詢或表單提交。當不知情的用戶訪問受感染的網頁時，他們的Web瀏覽器會將注入的腳本作為頁面內容的一部分來呈現。

惡意廣告|瀏覽器軟件的頑疾

由于瀏覽器的主要目的是訪問網站并呈現內容，因此它們不可避免地受到出現在這些網站上的惡意代碼的濫用，這類代碼的一種更常見的形式是惡意廣告，即傳播惡意軟件的在線廣告。

不法分子像普通企業一樣購買廣告位，常使用自動化系統下訂單。然后，他們創建嵌入惡意代碼的廣告，并通過合法的廣告網絡發布。

就連大受歡迎、備受信賴的網站也被發現無意中提供惡意廣告。惡意廣告可以用來投放無需用戶交互的下載件：只要瀏覽器存在某些漏洞，或者廣告中含有惡意鏈接，就能觸發下載件。

瀏覽器廣告軟件|不僅僅很煩人

廣告軟件是一種禍害，在未經用戶同意甚至不知情的情況下在設備上顯示侵入性廣告。廣告軟件常常與Web瀏覽器擴展或插件捆綁在一起安裝，一旦安裝上去，廣告軟件就會跟蹤用戶的在線行為，收集數據，然后顯示針對性的廣告為廣告商大作宣傳。此外，廣告軟件可能會將用戶的Web瀏覽器重定向到特定的網站或收集個人信息。

廣告軟件通過消耗寶貴的系統資源和帶寬來降低系統性能，最令人擔憂的是，廣告軟件可以充當其他惡意軟件的渠道，包括間諜軟件和勒索軟件。廣告軟件開發者是最高明的開發群體之一，他們經常使用類似惡意軟件的混淆手法和反分析技巧來避免用戶或安全軟件的檢測和刪除。

提高Web瀏覽器的安全性

雖然瀏覽器供應商不斷提供補丁更新，并開發新的擴展和附件來應對產品中的風險，但組織本身也可以盡量減少威脅，并保護瀏覽會話。

做好瀏覽器安全基本功

?及時更新瀏覽器軟件是網絡安全的一個重要方面。大多數流行的瀏覽器會在重新啟動時自動更新和/或在更新可用時提供通知，為了確保更新是正規的，應該始終通過瀏覽器內置的更新機制進行更新，應該避免手動下載，并且在任何情況下只從開發者的官方軟件更新網站獲取。

?為了方便，Web瀏覽器通常提供保存密碼的選項。然而，這種便利是以犧牲安全性為代價的，如果將密碼存儲在瀏覽器中，一旦安全泄密，密碼就更容易被竊取。替代方案是，改而使用信譽良好的密碼管理器，密碼管理器不僅可以安全地存儲憑據，還可以為每個帳戶生成獨特的強密碼。

?書簽也有助于提升瀏覽器安全。網絡犯罪分子可以在經常訪問的網站上設計騙局，誘騙用戶輸入憑據和敏感信息，為了降低這種風險，對經常使用的網站使用書簽，這就降低了意外遇到假冒網站的可能性。

編寫面向全組織的瀏覽器政策和培訓材料

組織領導可以與IT團隊合作，確保基本的瀏覽器安全做法實現自動化。如果針對管理彈出窗口制定最佳實踐設置、打開自動更新和只下載IT部門認可的瀏覽器安全附件，所有級別的用戶都可以安全地瀏覽互聯網。

在用戶層面，要求持續的網絡安全培訓有助于建立更好的防御態勢，并保護企業的數字資產，用戶可以學會發現常見的威脅，比如網絡釣魚攻擊、惡意下載和欺騙，然后立即標記問題。網絡安全培訓還強調了保持瀏覽器和相關軟件版本最新的重要性，以及在瀏覽器中存儲敏感數據的相關風險。

購置威脅檢測和響應解決方案

擁有可靠的檢測和響應能力是確保Web瀏覽器會話安全的關鍵。XDR通過整合來自各數據源（包括Web瀏覽器）的數據，提供了一種全面的安全方法。這意味著安全團隊可以對所有系統保持警惕，實時發現潛在威脅和大肆利用的瀏覽器漏洞。

XDR解決方案還使用高級分析和機器學習（ML）算法來檢測異常或可疑的瀏覽器行為，幫助組織查明基于瀏覽器的漏洞，以免漏洞演變成全面攻擊。通過分析用戶活動、網絡流量和端點數據，XDR系統可以識別不然可能被忽視的威脅或惡意活動的跡象。

在基于瀏覽器的網絡攻擊環境中，XDR允許安全團隊快速有效地響應，當檢測到攻擊時，它會隔離受影響的端點，阻止惡意域，并立即采取補救措施，以減小威脅對組織網絡造成的影響。

結論

鑒于Web瀏覽器在桌面和移動設備上無處不在，所以它們仍然是威脅分子竊取數字身份和個人信息或發動全面網絡攻擊的一條頗有吸引力的途徑，感染Web瀏覽器可以用來在操作系統上站穩腳跟，劫持互聯網流量或入侵在線帳戶。

提高網絡瀏覽器的安全性是需要多管齊下的方法，需要做好網絡安全基本功，確保持續的用戶教育，并擁有合適的檢測和響應技術。