Skip to content
WONGCW 網誌
  • 首頁
  • 論壇
  • 微博
  • 壁紙下載
  • 免費圖床
  • 視頻下載
  • 聊天室
  • SEO工具
  • 支援中心
  • 表格製作
  • More
    • 在線名片
    • 網頁搜索
    • 天氣預報
    • 二維碼生成器
    • WordPress 插件及主題下載
  • Search Icon

WONGCW 網誌

記錄生活經驗與點滴

Chrome瀏覽器CSP漏洞導致數十億用戶面臨數據被盜風險

Chrome瀏覽器CSP漏洞導致數十億用戶面臨數據被盜風險

2020-08-11 Comments 0 Comment

Threat Post報導稱:基於Chromium內核的瀏覽器被曝存在一個可被繞過的內容安全策略(簡稱CSP)漏洞,導致數十億用戶易被攻擊者竊取數據和執行惡意代碼。PerimeterX網絡安全研究人員Gal Weizman指出,該漏洞(CVE-2020-6519)可在Windows、Mac和Android版Chrome瀏覽器,以及Opera和Edge中找到。

(來自:PerimeterX)

如果你仍在使用2019年3月發布的Chrome 73、以及2020年7月前的Chrome 83,還請盡快更新至已修復CVE-2020-6519漏洞的Chrome 84 。

據悉,作為一項Web 標準,內容安全策略(CSP)旨在阻止某些類型的攻擊,比如跨站腳本(XSS)和數據注入(data-injection)。

CSP 允許Web 管理員指定瀏覽器可執行腳本的有效源範圍,以便兼容該標準的瀏覽器僅執行可信來源的腳本加載操作。

瀏覽器易受攻擊,但網站並不這樣。

Weizman 在周一發布的研究報告中指出:“CSP 是網站所有者用於執行數據安全策略、以防止在其網站上執行惡意影子代碼的主要方法,因而當其繞過瀏覽器時,個人用戶的數據就面臨著風險”。

目前大多數網站都已事實CSP 內容安全策略,包括大家熟知的ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo 和Zoom 等互聯網巨頭。

不過一些知名的站點得以倖免,包括GitHub、谷歌Play 商店、領英LinkedIn、PayPal、Twitter、雅虎登錄頁面、以及Yandex 。

要利用此漏洞,攻擊者必須先通過暴力破解或其它方法來訪問Web 服務器,以便能夠修改其JavaScript 代碼。

然後攻擊者可以在JavaScript 中添加frame-src 或child-src 指令,以允許注入代碼並強制加載執行,從而繞過站點CSP 內容安全策略的防護。

儘管該漏洞被CvSS 認定為中等嚴重等級(6/10),但由於它會影響CSP 的執行,因此具有了更廣泛的意義。換言之,當設備不幸中招時,事故造成的損害將嚴重得多。

舉個例子,若CSP 措施得當,網站仍可限制對此類敏感信息的訪問。但以類似的方式,惡意Web 開發者可利用第三方腳本,向付款頁面加註一些額外的功能。

更糟糕的是,這個漏洞已在Chrome 瀏覽器中存在了一年以上,直到近日才得到徹底修復。因而Weizman 警告稱,該漏洞的全部影響尚不為人所知。

最後,為避免遭受此類攻擊而導致個人身份信息(PII)等敏感數據洩露,還請大家立即將瀏覽器升級到最新版本。

分享此文:

  • 分享到 Twitter(在新視窗中開啟)
  • 按一下以分享至 Facebook(在新視窗中開啟)
  • 分享到 WhatsApp(在新視窗中開啟)
  • 按一下以分享到 Telegram(在新視窗中開啟)
  • 分享到 Pinterest(在新視窗中開啟)
  • 分享到 Reddit(在新視窗中開啟)
  • 按一下即可分享至 Skype(在新視窗中開啟)
  • 按一下即可以電子郵件傳送連結給朋友(在新視窗中開啟)
  • 點這裡列印(在新視窗中開啟)

相關


網絡資訊

Post navigation

PREVIOUS
研究團隊開發高效率的工藝使海水在30分鐘內就能飲用
NEXT
AI Benchamrk曝光谷歌Pixel 5 配備驍龍765G與8GB RAM

發表迴響 取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料。

More results...

Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt
Filter by 分類
網站公告
Featured
限時免費
ESET NOD32
WINDOWS 10 &11 INSIDER PREVIEW
Windows 軟件下載
系統軟件
辦公軟件
圖像處理
影音媒體
網絡軟件
應用軟件
Mac 軟件下載
安卓軟件下載
網絡資訊
Mac資訊
Linux資訊
VPS資訊
NASA資訊
金融資訊
WhatsApp Stickers教學
WordPress資訊
WeChat資訊
PHP資訊
Plesk資訊
TensorFlow
教學資源
開源程序
網頁工具
SEO工具
醫療健康
旅遊及消閒
其他資訊
Content from
Content to
2020 年 8 月
一 二 三 四 五 六 日
 12
3456789
10111213141516
17181920212223
24252627282930
31  
« 7 月   9 月 »

分類

  • 網站公告
  • 限時免費
  • ESET NOD32
  • WINDOWS 10 &11 INSIDER PREVIEW
  • Windows 軟件下載
  • 系統軟件
  • 辦公軟件
  • 圖像處理
  • 影音媒體
  • 網絡軟件
  • 應用軟件
  • Mac 軟件下載
  • 安卓軟件下載
  • 網絡資訊
  • Mac資訊
  • Linux資訊
  • VPS資訊
  • NASA資訊
  • WhatsApp Stickers教學
  • WordPress資訊
  • WeChat資訊
  • PHP資訊
  • Plesk資訊
  • TensorFlow
  • 教學資源
  • 開源程序
  • 網頁工具
  • SEO工具
  • 醫療健康
  • 旅遊及消閒
  • 其他資訊

彙整

近期文章

  • 特斯拉最新Cybertruck路試諜照現身揭示了兩個車身設計變化 2023-02-03
  • NASA在火星上發現與眾不同的岩石懷疑是天外來客 2023-02-03
  • 部分Windows用戶遭遇不可跳過的全屏Microsoft 365試用廣告 2023-02-03
  • Ghostwriter插件現在可以將ChatGPT整合到微軟Word中 2023-02-03
  • 研究人員首次實現植入小鼠體內的人腦器官對視覺刺激的反應 2023-02-03
  • 科學家使用外來的DNA來幫助創造”耐氣候變化”作物 2023-02-03
  • 谷歌第四季度淨利潤同比下降34% 未達預期股價下跌逾3% 2023-02-03
  • 蘋果四季度iPhone收入不佳總營收創六年最大跌幅盤後跌近4% 2023-02-03
  • 美股龍頭罕見跌倒蘋果Q1財報營收、利潤均不及預期 2023-02-03
  • 亞馬遜第四季度營收1492.04億美元淨利潤同比下降98% 2023-02-03

熱門文章與頁面︰

  • DP vs HDMI 誰才是遊戲玩家最佳選擇?
  • ESET NOD32 LICENSE KEY (UPDATED 2023-01-17)
  • Explorer Patcher:讓Windows 11恢復Windows 10的行為特徵
  • 打車叫到特斯拉不會開門很尷尬?官方介紹開關門方法
  • ESET NOD32 LICENSE KEY (UPDATED 2022-01-01)
  • 百度雲盤、藍奏雲、微雲提取碼秘鑰查詢工具
  • z-sms – 在線免費云短信臨時手機號接碼平台網頁版
  • 盜版Windows 7還能免費升級Windows 10嗎?
  • 格式工廠 FormatFactory 4.5.5.0 免安裝中文版 - 最受歡迎影片轉檔工具
  • 錄屏軟件ApowerREC v1.3.5.6 中文破解版

投遞稿件

歡迎各界人士投遞稿件到admin@wongcw.com

請提供以下資料:

1.你的名字

2.你的電郵

3.分類目錄

4.文章標題

5.文章摘要

6.文章內容

7.文章來源

 

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

快帆

MALUS

極度掃描

DMCA.com Protection Status

WONGCW 網誌

  • 免責聲明
  • 捐助我們
  • ThemeNcode PDF Viewer
  • ThemeNcode PDF Viewer SC
  • Events

服務器提供

本站使用之服務器由ikoula提供。

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

© 2023   All Rights Reserved.
X