1. 黑客安全网-互联网安全媒体信息综合平台首页
  2. 漏洞信息

Google Chrome浏览器漏洞使数十亿用户数据遭受被盗风险

Google Chrome浏览器存在安全漏洞,攻击者可利用该漏洞绕过网站上的内容安全策略(CSP),进而窃取用户数据并执行恶意代码。

网络安全研究人员表示,该漏洞(CVE-2020-6519)存在于Windows、Mac和Android的Chrome、Opera和Edge浏览器中,可能影响数十亿网络用户。Chrome 73版本(2019年3月)到83版本均会受到影响,84版本已在7月发布并修复了该漏洞。

CSP是一种网络标准,旨在防御特定类型的网络攻击,包括跨站脚本(XSS)和数据注入攻击。Web管理员可以通过CSP管理浏览器允许加载的域,与CSP兼容的浏览器仅执行从这些域接收的源文件中加载的脚本。

CSP是网站管理者实施数据安全策略的主要方法,以防御攻击者在其网站上进行的恶意活动。因此,当攻击者可以绕过该策略时,用户的隐私数据将面临风险。

研究人员指出,大多数网站都使用CSP,包括ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo和Zoom等互联网巨头,但GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahoo登陆页面和Yandex等没有受到影响。

为了利用该漏洞,首先攻击者需要获取Web服务器访问权限(通过暴力破解或其他方法),以便修改JavaScript代码。然后,攻击者可以在JavaScript中添加frame-src或child-src指令,加载并执行注入的代码,绕过CSP执行,进而绕过网站的安全策略。

经过验证,该漏洞被视为中危漏洞。但是,由于该漏洞影响到CSP,因此需要特别重视。

研究人员表示,由于安全意识的提升,当设备出现故障时,造成的损失要更加严重。类似的,网站开发者允许第三方脚本向付款页面添加功能,例如,都知道CSP会限制访问敏感信息,因此,当CSP被绕过时,依赖于CSP站点的风险可能比没有CSP时要高。

在修复之前,该漏洞已在Chrome浏览器中存在一年多,因此,该漏洞的实际影响尚不可知。未来几个月,可能会发现利用该漏洞的数据泄露情况,可能会导致个人身份信息(PII)泄露。

用户应将浏览器更新至最新版本,以免遭受攻击。

参考文献:https://threatpost.com/google-chrome-bug-data-theft/158217/

相关推荐: 某租车系统Java代码审计之后台注入漏洞分析

CMS简介 系统基于租车业务场景而搭建的O2O服务平台,可为用户提供商务租车、接送机、旅游租车、企业租车、自驾租车、婚庆用车等自助租车服务。 系统包含车辆库管理、门店管理、员工管理、司机管理、订单管理、活动管理、评价管理、财务管理、统计等。 cms的下载地址:…

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/vuls/3148.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注