PerimeterX安全研究人員Gal Weizman在本周揭露一個存在於Chromium的安全漏洞,此一編號為CVE-2020-6519的漏洞將允許駭客繞過網站的內容安全政策(Content Security Policy,CSP),以竊取資料或執行惡意程式,而且波及Chrome73~Chrome 83版本,以及其它採用Chromium的瀏覽器,幸好Google已在今年7月釋出的Chrome 84修補了該漏洞。

CSP是由各家網站所制定的安全政策,用來向瀏覽器宣告該站允許或禁止載入的內容,像是一些特定的呼叫或javaScript程式碼等,可用來保護使用者避免受到跨站指令碼(XSS)或惡意javaScript程式碼的攻擊,然而,Weizman卻發現Chromium的CSP強制執行機制可被繞過,除了Chrome瀏覽器之外,基於Chromium的Opera或Edge也都被波及,且涵蓋Windows版、Mac版及Android版。

這代表就算網站設定了CSP,但只要透過Chromium瀏覽器造訪的使用者就有可能會遭到攻擊。有些倖免於難的網站,是因為它們在部署CSP時使用了Nonce或Hash加以保護,進而保障了它們的用戶,像是 Twitter、Github、LinkedIn、Google Play Store, Yahoo登入頁面、PayPal與Yandex等。根據Weizman的估計,該漏洞至少波及了數十億的使用者。

不過,要開採該漏洞需要一些程序。Weizman向Threatpost解釋,駭客首先必須透過暴力破解或其它方法存取Web伺服器,以修改該伺服器所使用的JavaScript,並於該JavaScript程式碼中添增frame-src或child-src指令,以允許程式注入及執行,才能繞過瀏覽器的CSP安全機制並危害網站用戶。

這也是為什麼CVE-2020-6519僅被列為中度等級的漏洞。除了Weizman之外,騰訊安全玄武實驗室的Wenxu Wu也向Google提報了同一個漏洞,他們各自獲得了3,000美元的抓漏獎勵。

目前主要的瀏覽器多採用自動更新,所以除非使用者變更了該預設值,否則都應該已經自動升級到最新的版本。


Advertisement

更多 iThome相關內容