Chrome 瀏覽器將阻止瀏覽器對(duì) TCP 554 端口的訪問(wèn)，以防止利用 NAT Slipstreaming 2.0 漏洞的攻擊行為。

去年，安全研究人員披露了新版本的 NAT Slipstreaming 漏洞，該漏洞允許惡意腳本繞過(guò)網(wǎng)站訪問(wèn)者的 NAT 防火墻，訪問(wèn)訪問(wèn)者內(nèi)部網(wǎng)絡(luò)上的任何 TCP/UDP 端口。

由于這個(gè)漏洞只對(duì)路由器的應(yīng)用層網(wǎng)關(guān)(ALG)監(jiān)控的特定端口起作用，因此包括 Chrome、Safari 和 Mozilla 在內(nèi)的瀏覽器開(kāi)發(fā)者已經(jīng)阻止了不會(huì)收到大量流量的易受攻擊的端口。當(dāng)該漏洞首次被披露時(shí)，Chrome 87 開(kāi)始阻止 HTTP 和 HTTPS 對(duì) TCP 端口 5060 和 5061 的訪問(wèn)，以防范該漏洞。2021年1月，谷歌又阻止了對(duì)另外 7 個(gè)端口的 HTTP、HTTPS 和 FTP 訪問(wèn)，包括 69、137、161、1719、1720、1723 和 6566 端口。過(guò)去，Chrome 也曾屏蔽過(guò) 554 端口，但在企業(yè)用戶投訴后取消了屏蔽。

然而，Chromium 工程師 Adam Rice 宣布，目前開(kāi)發(fā)這么已經(jīng)在 Github 上達(dá)成了共識(shí)，將再次屏蔽 554 端口。

谷歌和 Safari 開(kāi)發(fā)者也在討論屏蔽 10080 端口，F(xiàn)irefox 已經(jīng)屏蔽了這一端口，但由于網(wǎng)絡(luò)瀏覽器對(duì)該端口的合法請(qǐng)求，開(kāi)發(fā)者們猶豫不決。一旦某個(gè)端口被屏蔽，當(dāng)用戶試圖連接到該端口時(shí)，會(huì)看到一條錯(cuò)誤信息，顯示為 'ERR_UNSAFE_PORT'。 如果有開(kāi)發(fā)者將網(wǎng)站托管在這些端口上運(yùn)行，則應(yīng)該切換到其他端口，讓用戶能夠不受這些端口的影響繼續(xù)訪問(wèn)網(wǎng)站。

此外，F(xiàn)irefox 84 或更高版本以及 Safari 都已經(jīng)在其瀏覽器中屏蔽了 554 端口。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Chrome 瀏覽器將屏蔽 554 端口以阻止 NAT Slipstreaming 攻擊

本文地址：https://www.oschina.net/news/132508/chrome-block-port-554