Skip to content
WONGCW 網誌
  • 首頁
  • 論壇
  • 微博
  • 壁紙下載
  • 免費圖床
  • 視頻下載
  • 聊天室
  • SEO工具
  • 支援中心
  • 表格製作
  • More
    • 在線名片
    • 網頁搜索
    • 天氣預報
    • 二維碼生成器
  • Search Icon

WONGCW 網誌

記錄生活經驗與點滴

Chrome瀏覽器CSP漏洞導致數十億用戶面臨數據被盜風險

Chrome瀏覽器CSP漏洞導致數十億用戶面臨數據被盜風險

2020-08-11 Comments 0 Comment

Threat Post報導稱:基於Chromium內核的瀏覽器被曝存在一個可被繞過的內容安全策略(簡稱CSP)漏洞,導致數十億用戶易被攻擊者竊取數據和執行惡意代碼。PerimeterX網絡安全研究人員Gal Weizman指出,該漏洞(CVE-2020-6519)可在Windows、Mac和Android版Chrome瀏覽器,以及Opera和Edge中找到。

(來自:PerimeterX)

如果你仍在使用2019年3月發布的Chrome 73、以及2020年7月前的Chrome 83,還請盡快更新至已修復CVE-2020-6519漏洞的Chrome 84 。

據悉,作為一項Web 標準,內容安全策略(CSP)旨在阻止某些類型的攻擊,比如跨站腳本(XSS)和數據注入(data-injection)。

CSP 允許Web 管理員指定瀏覽器可執行腳本的有效源範圍,以便兼容該標準的瀏覽器僅執行可信來源的腳本加載操作。

瀏覽器易受攻擊,但網站並不這樣。

Weizman 在周一發布的研究報告中指出:“CSP 是網站所有者用於執行數據安全策略、以防止在其網站上執行惡意影子代碼的主要方法,因而當其繞過瀏覽器時,個人用戶的數據就面臨著風險”。

目前大多數網站都已事實CSP 內容安全策略,包括大家熟知的ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo 和Zoom 等互聯網巨頭。

不過一些知名的站點得以倖免,包括GitHub、谷歌Play 商店、領英LinkedIn、PayPal、Twitter、雅虎登錄頁面、以及Yandex 。

要利用此漏洞,攻擊者必須先通過暴力破解或其它方法來訪問Web 服務器,以便能夠修改其JavaScript 代碼。

然後攻擊者可以在JavaScript 中添加frame-src 或child-src 指令,以允許注入代碼並強制加載執行,從而繞過站點CSP 內容安全策略的防護。

儘管該漏洞被CvSS 認定為中等嚴重等級(6/10),但由於它會影響CSP 的執行,因此具有了更廣泛的意義。換言之,當設備不幸中招時,事故造成的損害將嚴重得多。

舉個例子,若CSP 措施得當,網站仍可限制對此類敏感信息的訪問。但以類似的方式,惡意Web 開發者可利用第三方腳本,向付款頁面加註一些額外的功能。

更糟糕的是,這個漏洞已在Chrome 瀏覽器中存在了一年以上,直到近日才得到徹底修復。因而Weizman 警告稱,該漏洞的全部影響尚不為人所知。

最後,為避免遭受此類攻擊而導致個人身份信息(PII)等敏感數據洩露,還請大家立即將瀏覽器升級到最新版本。

分享此文:

  • 按一下即可分享至 X(在新視窗中開啟) X
  • 按一下以分享至 Facebook(在新視窗中開啟) Facebook
  • 分享到 WhatsApp(在新視窗中開啟) WhatsApp
  • 按一下以分享到 Telegram(在新視窗中開啟) Telegram
  • 分享到 Pinterest(在新視窗中開啟) Pinterest
  • 分享到 Reddit(在新視窗中開啟) Reddit
  • 按一下即可以電子郵件傳送連結給朋友(在新視窗中開啟) 電子郵件
  • 點這裡列印(在新視窗中開啟) 列印

相關


網絡資訊

Post navigation

PREVIOUS
研究團隊開發高效率的工藝使海水在30分鐘內就能飲用
NEXT
AI Benchamrk曝光谷歌Pixel 5 配備驍龍765G與8GB RAM

發表迴響取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料。

More results...

Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt
Filter by 分類
網站公告
Featured
赫思醫美
限時免費
Windows 軟件下載
系統軟件
辦公軟件
圖像處理
影音媒體
網絡軟件
應用軟件
Mac 軟件下載
安卓軟件下載
網絡資訊
Mac資訊
Linux資訊
VPS資訊
NASA資訊
WordPress資訊
WeChat資訊
PHP資訊
教學資源
開源程序
網頁工具
SEO工具
醫療健康
其他資訊
Content from
Content to
2020 年 8 月
一 二 三 四 五 六 日
 12
3456789
10111213141516
17181920212223
24252627282930
31  
« 7 月   9 月 »

分類

  • 網站公告
  • 赫思醫美
  • 限時免費
  • Windows 軟件下載
  • 系統軟件
  • 辦公軟件
  • 圖像處理
  • 影音媒體
  • 網絡軟件
  • 應用軟件
  • Mac 軟件下載
  • 安卓軟件下載
  • 網絡資訊
  • Mac資訊
  • Linux資訊
  • VPS資訊
  • NASA資訊
  • WordPress資訊
  • WeChat資訊
  • PHP資訊
  • 教學資源
  • 開源程序
  • 網頁工具
  • SEO工具
  • 醫療健康
  • 其他資訊

彙整

近期文章

  • Firefox新版本將支援Chrome已有多年的WebGPU功能 2025-07-17
  • 彩虹正式上架統信UOS 直接運行Windows應用 2025-07-17
  • 美團高層承諾:將保證美團騎士收入永遠站穩藍領第一梯隊 2025-07-17
  • 科尼賽克CEO直言:電動超跑沒有靈魂我們不造 2025-07-17
  • HTC預告VIVE神秘新品或為首款智慧眼鏡 2025-07-17
  • 據傳PS5 Pro將在明年5月進行性能升級推測為《GTA6》做準備 2025-07-17
  • 德國玩家偏愛A卡銷量佔65%超NV:RX9070XT賣最好 2025-07-17
  • 三星和SK海力士因意外需求推遲DDR4記憶體淘汰計劃 2025-07-17
  • 特斯拉Model YL外觀正式公佈:預估售價40萬尾標亮了 2025-07-17
  • 巴西一11歲女孩長了81顆牙齒醫師直呼活久見 2025-07-17

熱門文章與頁面︰

  • 無3C行動電源禁止登機一文看懂到底什麼是3C認證、如何分辨真偽
  • 氣像模型預測澳洲將面臨史無前例、長達20年的大洪災
  • 您可以在Windows 11 24H2 中找回WordPad
  • 色斑的成因、類型與防治:全面解析皮膚色素沉積問題
  • 科學家開發新型“智能”繃帶將利用光來指示感染情況
  • CCleaner全家桶激活密鑰
  • 抖音首次公開演算法原理:推薦系統不打標籤只預估行為動作
  • WinZip Pro v24.0 Build 14033 x86/x64 正式註冊版附註冊碼Key
  • 打車叫到特斯拉不會開門很尷尬?官方介紹開關門方法
  • 三星在針對中國京東方的OLED商業機密侵權案中取得決定性勝利

投遞稿件

歡迎各界人士投遞稿件到admin@wongcw.com

請提供以下資料:

1.你的名字

2.你的電郵

3.分類目錄

4.文章標題

5.文章摘要

6.文章內容

7.文章來源

 

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

赫思醫美

快帆

MALUS

極度掃描

DMCA.com Protection Status

WONGCW 網誌

  • 免責聲明
  • 捐助我們
  • ThemeNcode PDF Viewer
  • ThemeNcode PDF Viewer SC
  • Events

服務器提供

本站使用之服務器由ikoula提供。

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

© 2025   All Rights Reserved.