Threat Post報導稱：基於Chromium內核的瀏覽器被曝存在一個可被繞過的內容安全策略（簡稱CSP）漏洞，導致數十億用戶易被攻擊者竊取數據和執行惡意代碼。PerimeterX網絡安全研究人員Gal Weizman指出，該漏洞（CVE-2020-6519）可在Windows、Mac和Android版Chrome瀏覽器，以及Opera和Edge中找到。

（來自：PerimeterX）

如果你仍在使用2019年3月發布的Chrome 73、以及2020年7月前的Chrome 83，還請盡快更新至已修復CVE-2020-6519漏洞的Chrome 84 。

據悉，作為一項Web 標準，內容安全策略（CSP）旨在阻止某些類型的攻擊，比如跨站腳本（XSS）和數據注入（data-injection）。

CSP 允許Web 管理員指定瀏覽器可執行腳本的有效源範圍，以便兼容該標準的瀏覽器僅執行可信來源的腳本加載操作。

瀏覽器易受攻擊，但網站並不這樣。

Weizman 在周一發布的研究報告中指出：“CSP 是網站所有者用於執行數據安全策略、以防止在其網站上執行惡意影子代碼的主要方法，因而當其繞過瀏覽器時，個人用戶的數據就面臨著風險”。

目前大多數網站都已事實CSP 內容安全策略，包括大家熟知的ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo 和Zoom 等互聯網巨頭。

不過一些知名的站點得以倖免，包括GitHub、谷歌Play 商店、領英LinkedIn、PayPal、Twitter、雅虎登錄頁面、以及Yandex 。

要利用此漏洞，攻擊者必須先通過暴力破解或其它方法來訪問Web 服務器，以便能夠修改其JavaScript 代碼。

然後攻擊者可以在JavaScript 中添加frame-src 或child-src 指令，以允許注入代碼並強制加載執行，從而繞過站點CSP 內容安全策略的防護。

儘管該漏洞被CvSS 認定為中等嚴重等級（6/10），但由於它會影響CSP 的執行，因此具有了更廣泛的意義。換言之，當設備不幸中招時，事故造成的損害將嚴重得多。

舉個例子，若CSP 措施得當，網站仍可限制對此類敏感信息的訪問。但以類似的方式，惡意Web 開發者可利用第三方腳本，向付款頁面加註一些額外的功能。

更糟糕的是，這個漏洞已在Chrome 瀏覽器中存在了一年以上，直到近日才得到徹底修復。因而Weizman 警告稱，該漏洞的全部影響尚不為人所知。

最後，為避免遭受此類攻擊而導致個人身份信息（PII）等敏感數據洩露，還請大家立即將瀏覽器升級到最新版本。