Chrome 瀏覽器漏洞繞過 CSP 竊取數據，數十億用戶面臨數據泄露

基于chrome的谷歌瀏覽器的一個漏洞將允許攻擊者繞過網站上的內容安全策略(CSP)，以竊取數據和執行惡意代碼。

據PerimeterX網絡安全研究人員Gal Weizman稱，該漏洞(CVE-2020-6519)存在于Chrome, Opera和Edge，以及Windows, Mac和Android系統中，可能會影響數十億的網絡用戶。Chrome版本73（2019年3月）到83版本（84已在7月發布并修復了該問題）受到影響。

CSP是一種Web標準，旨在阻止某些類型的攻擊，包括跨站點腳本（XSS）和數據注入攻擊。CSP允許Web管理員指定瀏覽器應將其視為可執行腳本有效源的域。然后，與CSP兼容的瀏覽器將僅執行從這些域接收的源文件中加載的腳本。

Weizman在周一發布的一項研究中解釋說：“ CSP是網站所有者用來執行數據安全策略以防止在其網站上執行惡意shadow-code的主要方法，因此當繞過瀏覽器執行時，個人用戶數據將面臨風險，”

研究人員指出，大多數網站都使用CSP，包括ESPN，Facebook，Gmail，Instagram，TikTok，WhatsApp，Wells Fargo和Zoom等互聯網巨頭。一些著名的名稱不受影響，包括GitHub，Google Play商店，LinkedIn，PayPal，Twitter，Yahoo的登錄頁面和Yandex。

要利用此漏洞，攻擊者首先需要（通過暴力破解密碼或其他方法）訪問Web服務器，以便能夠修改其使用的JavaScript代碼。然后，攻擊者可以在JavaScript中添加frame-src或child-src指令，以允許注入的代碼加載并執行它，從而繞過CSP強制執行，從而繞過站點的策略，Weizman解釋說。

因為這個bug的后認證方面，它被列為中等嚴重性問題(在CvSS的10分中打6.5分)。但是，由于它會影響CSP的執行，因此具有廣泛的意義。” Weizman說道，并將其與安全帶，安全氣囊和碰撞傳感器存在的問題進行了比較。

研究人員說：“ 由于對安全性的認識提高，當該設備出現故障時，在事故中造成的損害要嚴重得多。” “以類似的方式，網站開發人員可以允許第三方腳本向其付款頁面添加功能，例如，知道CSP將限制對敏感信息的訪問。因此，當CSP發生故障時依賴它的網站所面臨的風險可能比沒有CSP的網站更高。”

該漏洞已在Chrome瀏覽器中存在一年以上，然后才得到修復，因此Weizman警告說，該漏洞的全部影響尚不為人所知：“ 我們很有可能在未來幾個月內了解到利用該漏洞并導致個人身份信息(PII)出于邪惡目的數據泄露事件。”

用戶應將其瀏覽器更新到最新版本，以免遭受攻擊。