您的位置:首页 > 互联网

谷歌 Chrome 浏览器发现漏洞,需尽快升至 84 及以上版本_谷歌浏览器更新错误3

发布时间:2022-07-15 05:12:52  来源:互联网     背景:

  8 月 10 日 , 安全研究员在 Windows,Mac 和 Android 的基于 Chromium 的浏览器(Chrome,Opera 和 Edge)中发现了零日 CSP 绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 规则 , 潜在受影响的用户为数十亿,其中 Chrome 拥有超过 20 亿用户。以下是漏洞详情:

  漏洞详情

  零日 CSP 绕过漏洞(CVE-2020-6519)

  “零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

  CSP 指的是内容安全策略 , 是由万维网联盟 (WWW)定义的一种功能,它是指导浏览器强制执行某些客户端策略的 Web 标准的一部分。利用 CSP 规则,网站可以指示浏览器阻止或允许特定请求,包括特定类型的 JavaScript 代码执行。这样可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。开发人员使用 CSP 保护其应用程序免受 Shadow Code 注入漏洞和跨站点脚本的攻击(XSS)攻击,并降低其应用程序执行的特权。Web 应用程序所有者为他们的站点定义 CSP 策略,然后由浏览器实施。大多数常见的浏览器(包括 Chrome,Safari,Firefox 和 Edge)都支持 CSP,并且在保护客户端执行 Shadow Code 方面至关重要。

  攻击者访问 Web 服务器,并在 javascript 中添加 frame-src 或 child-src 指令以允许注入的代码加载并执行它,从而绕过 CSP 强制执行,这样就轻而易举地绕过站点的安全策略。

  该漏洞是在 Chrome 中发现的,Chrome 是当今使用最广泛的浏览器,拥有超过 20 亿用户,并且在浏览器市场中所占的比重超过 65%,因此影响是巨大的。CSP 是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的 Shadow Code 的主要方法,因此,当绕过浏览器强制执行时,个人用户数据将受到威胁。

  除了少数由于服务器端控制的增强 CSP 策略而不受此漏洞影响的网站之外,许多网站还容易受到 CSP 绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些知名大网站,例如 Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger 和 Quora。再加上攻击者越来越容易获得未经授权的 Web 服务器访问权限时,此 CSP 绕过漏洞可能会导致大量数据泄露。据估计 , 恶意代码植入其中 , 跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据的风险。

  受影响产品及版本

  此漏洞影响 Chrome 84 版之前版本

  解决方案

  此漏洞由 Chrome 84 或更高版本修复

  最后建议

  由于该漏洞在 Chrome 浏览器中已经存在了一年多,因此尚不清楚其全部含义。在未来几个月中,我们很有可能会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。但是,采取行动还为时不晚。建议如下:

  1. 考虑添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。

  2. 仅 CSP 对大多数网站而言还不够,因此,请考虑添加其他安全层

  3. 考虑基于 JavaScript 的影子代码检测和监视,以实时缓解网页代码注入。

  4. 确保您的 Chrome 浏览器版本为 84 或更高版本。

威马是众泰的子公司?


谷歌浏览器86.0

酷狗发布音乐

Redmi 10 Prime


比亚迪宋max易车网

5G引领游戏产业升级,完美世界游戏储备多款精品
从千年石窟穿越到QQ聊天框!敦煌上新装扮啦!

爱回收购机

银隆新能源汽车和董明珠


返回网站首页

本文评论
iPhone6成淘汰产品!官方徒手拔了钉子户_苹果6splus为什么是钉子户
中关村在线消息:10月8日,据相关爆料,苹果在近日更新了古董和淘汰产品清单,停售5年之久的iPhone6正式被官方列列入淘汰产品清单。据悉,苹果会将已停售五年、未满7年的产品列入“古...
日期:10-22
阿里为何回购雅虎股份_马云:收购雅虎资金已筹备 只待雅虎内部态度
  10月20日消息,阿里巴巴董事局主席马云今日在参加华尔街日报数字领袖论坛时表示,收购雅虎的决心一直没改,目前在等待雅虎董事会的态度。在论坛现场,马云表示,几年来,自己曾多...
日期:07-24
支付宝航旅版开通_淘宝旅行客户端内置支付宝 航旅迎来手机购票时代
8月15日,淘宝旅行平台宣布正式进入手机旅游市场,发布iPhone与Android的淘宝旅行客户端,为用户提供包括机票、酒店的查询、购票服务。值得关注的是,由于集成了支付宝,使得这一客...
日期:07-22
一文看懂微信视频号双11狂欢节官方激励计划_微信视频号活动发起
11月3日 消息:日前,微信视频号“11.11狂欢节”已经开启。即日起至11月11日24时,在视频号直播间开播或短视频带货,都有机会参与官方激励计划。据悉,视频号官方也汇总了直播和短视...
日期:11-13
华为徐直军今起当值公司轮值董事长:任期6个月_华为 轮值董事
10月1日消息,从华为官网获悉,日前,华为发布关于公司轮值董事长的当值公告”。公告显示,根据公司轮值董事长制度,2022年10月1日-2023年3月31日期间由徐直军先生当值轮值董事长。轮...
日期:10-03
刘强东就明州事件发表声明:终于结束 希望尽快恢复生活和工作「明州案刘强东怎么回事」
凤凰网科技讯 10月2日消息,刘强东明州事件双方达成和解后,凤凰网科技从刘强东律师处获悉,刘强东发表声明称:纠葛四年的事情,今天终于结束了!再次对被这件事困扰的所有人尤其是我的...
日期:10-03
冰墩墩什么时候开售「冰墩墩线下今日停售  网店销售至12月31日」
9月30日 消息:据中国新闻网报道,包括冰墩墩公仔等在内的2022北京冬奥会各种特许商品线下零售店将于今日停止销售。苹果13promax和13pro电池p20安卓版本tiktok有直播带货吗下...
日期:10-01
如何看待特斯拉的销售变革问题「如何看待特斯拉的销售变革」
在中国开了第一家商超体验店的特斯拉,近日正重新评估中国市场的电动汽车销售方式,考虑在客流量大幅下滑的地区,关闭部分豪华商场的展厅,并加大力度建设成本更低的郊区直营店,同时...
日期:09-21
科大讯飞听说智能测试系统_科大讯飞亮相2019智能视听大会,讯飞听见L1备受好评
  由人民日报社指导,人民网、青岛市人民政府、人民视听公司共同主办,青岛高新区和人民网北欧公司承办的“2019智能视听大会”(以下简称大会)将于6月29日在青岛国际会议中心...
日期:03-06
工信部长发表新年贺词 问候广大网友新春快乐_信息部新年祝福语
  国家工业和信息化部部长苗圩发表新年贺词,向所有关心我国装备工业发展的广大网友致以节日的问候和美好的祝福。   工信部部长苗圩表示,在新年的钟声即将敲响之际,我谨代...
日期:07-25
苹果将于 10 月 27 日公布 2022 年第四季度财报「苹果三季度财报 时间」
9月29日消息:苹果公司今天更新了其投资者关系页面,宣布将于10月27日星期四分享2022年第四财季(第三日历季度)的盈利结果。第四季度财报电话会议将对新的iPhone14、iPhone14Pro...
日期:10-01
gmail Google_Google+最新更新将出现在Gmail联系人栏目中
新浪科技讯 北京时间8月24日凌晨消息,据美国计算机杂志《电脑世界》(PCWorld)网络版报道称,谷歌将支持Google+最新更新出现在Gmail联系人栏目(Gmail people widget)中的功能...
日期:07-22
马斯克凭借2510亿美元身价登顶福布斯美国富豪榜 贝佐斯退居第二「福布斯美国富豪榜:马斯克位居第二」
9月28日消息,据国外媒体报道,当地时间周二,福布斯公布了2022年度美国400富豪榜,其中马斯克以2510亿美元的身价排名第一。马斯克的净资产估计为2510亿美元,比去年多605亿美元,比亚...
日期:10-02
tcl科技创造精彩_用品质与科技为生活赋能,TCL用代言人营销激发情感共鸣
  消费者需求的变化主导着消费趋势的转变,作为对消费趋势变化异常敏感的品牌,洞察趋势只是第一步,如何精准了解、满足消费者的需求才是重点。在趋于年轻化和多元化的消费市...
日期:10-16
马斯克收购推特成定局!给员工吃下“定心丸”:不裁员75%_马斯克今天在推特说什么
美国当地时间10月26日,世界首富埃隆马斯克现身推特旧金山总部,他发布了一段自己抱着厨房水槽走进办公室的视频,并将自己的公开简介改为Chief Twit”,暗示收购推特已经定局。他在...
日期:10-28
T3出行探索网约车新模式_网约车t3出行的含义
;;据介绍,未来T3出行将持续聚焦网约车、出租车和自动驾驶三大板块。   众所周知,交通运输作为国民经济的基础性、先导性、战略性产业和重要的服务性行业,涉及经济社会发展...
日期:09-30
寺库否认跑路:几百位员工仍在正常办公,奢侈品已搬至专业仓库
亚马逊员工买特斯拉股票马云控制阿里的秘诀OPPO find5上市价格衣服只晾不晒   记者 | 于浩     近日,奢侈品电商寺库北京总部“疑似跑路”的相关话题引发关注。据《北...
日期:08-19
首届“开源软件供应链点亮计划-暑期2020”项目申请开启
  [中国北京,2020年6月1日]今日,“开源软件供应链点亮计划-暑期2020”活动项目申请正式启动。本次活动共吸引国内外40多家开源社区参与、累计发布388个项目,覆盖操作系统、...
日期:07-14
小米12 Pro双11到手2579 降价幅度达到1400_小米11pro618会降价吗
双11活动开始,小米此次的主力机型都有不同程度的促销,小米12Pro再度调价叠加Plus、满减等优惠后,到手价只有2579元,立减1400元的折扣非常的可观。2022京东双11活动会场入口京东...
日期:11-01
2021自动驾驶比赛_2021世界智能驾驶挑战赛即将启幕 这份完整日程提前揭晓
  世界智能驾驶挑战赛定位于世界级的行业高端交流平台和技术实践测评标尺,旨在通过智能驾驶、信息安全、智能仿真等一系列立体化、实践性、全方位的测评,为智能汽车科技进...
日期:05-04