Chromium内核浏览器有安全漏洞,攻击者可窃取网站的用户敏感数据

无论是Google Chrome还是微软的新版Edge,它们之所以好用,其中一大原因就是用了Chromium内核,使得浏览速度可以大大提升,并且可以用上不同的扩展程序来方便用户使用以及增强功能。

不过最近就发现这些基于Chromium内核的浏览器都有一个颇为严重的安全漏洞,可以让攻击者窃取网站用户的数据以及执行恶意代码。

这个代号为CVE-2020-6519的安全漏洞不仅仅在Chrome和Edge上面可以找到,在Opera上也有,并且不论是Windows、iOS以及安卓的版本都会受到影响。它可以让攻击者绕过大部分网站都有使用、专为阻挡部分类型攻击而设的CSP(Content Security Policy),然后偷取网站用户的个人敏感数据。

要利用这个漏洞,攻击者首先需要获得网站服务器的访问权限,之后就可以在JavaScript内加入frame-src或child-src指令来让JavaScript允许加载以及执行新加入的代码,从而完全绕过CSP。

虽然说这个安全漏洞在CVSS漏洞危险指数中只有6.5/10分,属于中等水平,但其应用范围其实十分之广。网络安全研究员Gal Weizan表示:

“网站开发者在知道CSP可以限制对用户敏感数据访问的情况下,可能会在网站的支付页面中允许加入第三方的功能。因此一旦CSP起不了作用的时候,这些网站被入侵的机会比起没有用CSP的网站会更大。”

目前最新版的Chrome已经修补了这个漏洞。如果用户仍然在用Chrome 73或更早期的版本的话,建议尽快升级至最新版。

(0)

相关推荐