8 月 10 日 , 安全研究员在 Windows,Mac 和 Android 的基于 Chromium 的浏览器(Chrome,Opera 和 Edge)中发现了零日 CSP 绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 规则 , 潜在受影响的用户为数十亿,其中 Chrome 拥有超过 20 亿用户。以下是漏洞详情:
漏洞详情
零日 CSP 绕过漏洞(CVE-2020-6519)
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
CSP 指的是内容安全策略 , 是由万维网联盟 (WWW)定义的一种功能,它是指导浏览器强制执行某些客户端策略的 Web 标准的一部分。利用 CSP 规则,网站可以指示浏览器阻止或允许特定请求,包括特定类型的 JavaScript 代码执行。这样可以确保为站点访问者提供更强的安全性,并保护他们免受恶意脚本的攻击。开发人员使用 CSP 保护其应用程序免受 Shadow Code 注入漏洞和跨站点脚本的攻击(XSS)攻击,并降低其应用程序执行的特权。Web 应用程序所有者为他们的站点定义 CSP 策略,然后由浏览器实施。大多数常见的浏览器(包括 Chrome,Safari,Firefox 和 Edge)都支持 CSP,并且在保护客户端执行 Shadow Code 方面至关重要。
攻击者访问 Web 服务器,并在 javascript 中添加 frame-src 或 child-src 指令以允许注入的代码加载并执行它,从而绕过 CSP 强制执行,这样就轻而易举地绕过站点的安全策略。
该漏洞是在 Chrome 中发现的,Chrome 是当今使用最广泛的浏览器,拥有超过 20 亿用户,并且在浏览器市场中所占的比重超过 65%,因此影响是巨大的。CSP 是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的 Shadow Code 的主要方法,因此,当绕过浏览器强制执行时,个人用户数据将受到威胁。
除了少数由于服务器端控制的增强 CSP 策略而不受此漏洞影响的网站之外,许多网站还容易受到 CSP 绕过和潜在恶意脚本执行的影响。这些网站包括世界上一些知名大网站,例如 Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger 和 Quora。再加上攻击者越来越容易获得未经授权的 Web 服务器访问权限时,此 CSP 绕过漏洞可能会导致大量数据泄露。据估计 , 恶意代码植入其中 , 跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据的风险。
受影响产品及版本
此漏洞影响 Chrome 84 版之前版本
解决方案
此漏洞由 Chrome 84 或更高版本修复
最后建议
由于该漏洞在 Chrome 浏览器中已经存在了一年多,因此尚不清楚其全部含义。在未来几个月中,我们很有可能会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。但是,采取行动还为时不晚。建议如下:
1. 考虑添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。
2. 仅 CSP 对大多数网站而言还不够,因此,请考虑添加其他安全层
3. 考虑基于 JavaScript 的影子代码检测和监视,以实时缓解网页代码注入。
4. 确保您的 Chrome 浏览器版本为 84 或更高版本。
