E X P
  • 编辑
  • 评论
  • 标题
  • 链接
  • 查错
  • 图文
  • 拼 命 加 载 中 ...

    无论是Google Chrome还是微软的新版Edge,它们之所以好用,其中一大原因就是用了Chromium内核,使得浏览速度可以大大提升,并且可以用上不同的扩展程序来方便用户使用以及增强功能。

    不过最近就发现这些基于Chromium内核的浏览器都有一个颇为严重的安全漏洞,可以让攻击者窃取网站用户的数据以及执行恶意代码。

    这个代号为CVE-2020-6519的安全漏洞不仅仅在Chrome和Edge上面可以找到,在Opera上也有,并且不论是Windows、iOS以及安卓的版本都会受到影响。它可以让攻击者绕过大部分网站都有使用、专为阻挡部分类型攻击而设的CSP(Content Security Policy),然后偷取网站用户的个人敏感数据。

    要利用这个漏洞,攻击者首先需要获得网站服务器的访问权限,之后就可以在JavaScript内加入frame-src或child-src指令来让JavaScript允许加载以及执行新加入的代码,从而完全绕过CSP。

    虽然说这个安全漏洞在CVSS漏洞危险指数中只有6.5/10分,属于中等水平,但其应用范围其实十分之广。网络安全研究员Gal Weizan表示:

    “网站开发者在知道CSP可以限制对用户敏感数据访问的情况下,可能会在网站的支付页面中允许加入第三方的功能。因此一旦CSP起不了作用的时候,这些网站被入侵的机会比起没有用CSP的网站会更大。”

    目前最新版的Chrome已经修补了这个漏洞。如果用户仍然在用Chrome 73或更早期的版本的话,建议尽快升级至最新版。

    ×
    已有 1 条评论,共 10 人参与。
    登录快速注册 后发表评论
    • 超能网友终极杀人王 2020-08-11 10:14    |  加入黑名单

      本评论正在审核中,马上就好……

      1#

    提示:本页有 1 个评论因未通过审核而被隐藏

    登录 后发表评论,若无帐号可 快速注册 ,请留意 评论奖罚说明