谷歌的Chrome瀏覽器中存在安全漏洞，攻擊者可利用該漏洞繞過網(wǎng)絡(luò)的內(nèi)容安全策略(CSP)，進(jìn)而竊取用戶數(shù)據(jù)并執(zhí)行流氓代碼。

[[337309]]

PerimeterX網(wǎng)絡(luò)安全研究人員Gal Weizman表示，該漏洞編號為CVE-2020-6519，存在于Windows、Mac和安卓的Chrome、Opera和Edge瀏覽器中，潛在影響用戶多達(dá)十億。其中，Chrome的73版本(2019年3月)到83版本均會受到影響，84版本已在7月發(fā)布，并修復(fù)了該漏洞。Chrome瀏覽器擁有超過20億用戶，并且占瀏覽器市場的65%以上。

CSP是一種Web標(biāo)準(zhǔn)，旨在阻止某些攻擊，比如跨站點腳本(XSS)和數(shù)據(jù)注入攻擊。CSP允許Web管理員指定瀏覽器將其視為可執(zhí)行腳本的有效源的域。然后，與CSP兼容的瀏覽器將僅執(zhí)行從這些域接收的源文件中加載的腳本。

對此，Weizman在報告中表示：“CSP是網(wǎng)站所有者用來執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意影子代碼的主要方法，因此當(dāng)繞過瀏覽器執(zhí)行時，個人用戶數(shù)據(jù)將面臨風(fēng)險。”

目前，大多數(shù)網(wǎng)絡(luò)均使用CSP策略，比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互聯(lián)網(wǎng)巨頭。當(dāng)然，也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不會受此次漏洞的影響。

Chrome的CSP強(qiáng)制執(zhí)行機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞，因為攻擊者還需要設(shè)法從該網(wǎng)站獲取惡意腳本。網(wǎng)站信任的安全機(jī)制存在漏洞，安全機(jī)制原本可以對第三方腳本執(zhí)行更嚴(yán)格的策略，但是因為漏洞會讓網(wǎng)站認(rèn)為他們是安全的而允許他們通過。

攻擊者利用該漏洞獲取Web服務(wù)器權(quán)限(通過暴破密碼或者其他方式)并修改JavaScript利用代碼。在JavaScipt中增加 frame-src或者child-src指令，攻擊者利用這種方式饒過CSP策略執(zhí)行、繞過網(wǎng)站安全規(guī)則。

經(jīng)驗證后，該漏洞的威脅程度為中等(6.5分)，然而，因為該漏洞涉及CSP策略執(zhí)行，所以影響很廣。網(wǎng)站開發(fā)人員允許第三方腳本修改支付頁面，比如知道CSP會限制敏感信息，所以破壞或者繞過CSP，便可以竊取用戶敏感信息比如支付密碼等。這無疑給網(wǎng)站用戶的信息安全帶來很大的風(fēng)險。

該漏洞在Chrome瀏覽器中存在超過一年了，目前該漏洞已經(jīng)修復(fù)。但是該漏洞的后續(xù)影響尚不明確，一旦遭到利用，用戶數(shù)據(jù)遭竊取用于非法途徑，后果將不堪設(shè)想。

在報告中還可以看到安全研究人員測試瀏覽器或者網(wǎng)站是否容易受到該漏洞影響的過程，創(chuàng)建一個簡單的腳本，當(dāng)通過devtools控制臺執(zhí)行該腳本時，可以測試所有這些網(wǎng)站，該腳本將立即通知當(dāng)前的瀏覽器/網(wǎng)站是否由于CSP/Old Chrome配置錯誤而受到CVE-2020-6519的攻擊。嘗試從https://pastebin.com/raw/XpHsfXJQ正常加載外部js腳本，并加載漏洞利用程序。以下以測試后的三種結(jié)果：

(1) 瀏覽器和網(wǎng)站容易受到攻擊：

(2) 瀏覽器易受攻擊，但網(wǎng)站不易受攻擊：:

(3) 瀏覽器不容易受到攻擊：:

因此，用戶可從以下幾個方面做好安全防護(hù)措施：

• 確保CSP策略定義正確?？紤]添加其他安全性層，例如nonces或hashs，這將需要在一些服務(wù)器端實現(xiàn)
• 僅CSP對大多數(shù)網(wǎng)站而言還不夠，因此，請考慮添加其他安全層?？紤]基于JavaScript的影子代碼檢測和監(jiān)視，以實時緩解網(wǎng)頁代碼注入
• 確保Chrome瀏覽器版本為84或更高版本。