Microsoft Edge瀏覽器。示意圖,與新聞事件無關。

思科(Cisco)旗下的Talos網路威脅情報部門在本周揭露多個可能外洩使用者機密資訊的瀏覽器漏洞,並指出在受到波及的Microsoft Edge、Google Chrome與蘋果Safari瀏覽器中,只有微軟還沒修補。

Talos研究人員Nicolai Grødum說明,「同源政策」(same-origin policy)為網路應用程式的基本安全機制之一,它要求網路程式碼只能存取同樣來源的資料,例如在瀏覽器中所執行的、源自good.example.com的script只能存取來自同樣伺服器的資料,而不允許該script存取其他伺服器的資料。

然而,網路應用程式存在許多安全漏洞,可允許駭客繞過同源政策,其中一項特別成功的攻擊行動為跨站指令碼(Cross Site Scripting,XSS)攻擊,駭客可自遠端注入惡意程式至瀏覽器中執行的程式,並偽裝成同源程式來存取在地資源,可造成機密資訊外洩甚至是應用程式劫持。

為了防範XSS攻擊,各家瀏覽器幾乎都支援「內容安全政策」(Content Security Policy,CSP),它是個伺服器白名單,列出了可供客戶端網路應用程式碼使用的合法資源。但Talos卻找到了繞過CSP的途徑,讓XSS攻擊的成功機會大增。

Grødum指出,包括Microsoft Edge、Chrome與Safari的CSP都含有相關漏洞,允許駭客繞過CSP所定義的政策而造成資料外洩。由於每個瀏覽器導入CSP的方式不同,使得駭客也必須針對不同的瀏覽器撰寫攻擊程式。

儘管資料外洩漏洞不如遠端程式攻擊漏洞來得嚴重,但Grødum認為,XSS攻擊可能讓駭客取得使用者的機密資訊,進而掌控使用者的帳號,應被視為重大威脅。

迄今Chrome與Safari都已修補相關漏洞,而微軟則說這是特別設計的,並非安全漏洞,因而拒絕修補。Grødum則在部落格中詳述了如何繞過瀏覽器的CSP保護。


Advertisement

更多 iThome相關內容