8 月 10 日 , 安全研究員在 Windows，Mac 和 Android 的基于 Chromium 的瀏覽器(Chrome，Opera 和 Edge)中發(fā)現(xiàn)了零日 CSP 繞過漏洞(CVE-2020-6519)。該漏洞使攻擊者可以完全繞過 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 規(guī)則 , 潛在受影響的用戶為數(shù)十億，其中 Chrome 擁有超過 20 億用戶。以下是漏洞詳情：

漏洞詳情

零日 CSP 繞過漏洞(CVE-2020-6519)

“零日漏洞”(zero-day)又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補丁與瑕疵曝光的同一日內，相關的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。

CSP 指的是內容安全策略 , 是由萬維網聯(lián)盟 (WWW)定義的一種功能，它是指導瀏覽器強制執(zhí)行某些客戶端策略的 Web 標準的一部分。利用 CSP 規(guī)則，網站可以指示瀏覽器阻止或允許特定請求，包括特定類型的 JavaScript 代碼執(zhí)行。這樣可以確保為站點訪問者提供更強的安全性，并保護他們免受惡意腳本的攻擊。開發(fā)人員使用 CSP 保護其應用程序免受 Shadow Code 注入漏洞和跨站點腳本的攻擊(XSS)，并降低其應用程序執(zhí)行的特權。Web 應用程序所有者為他們的站點定義 CSP 策略，然后由瀏覽器實施。大多數(shù)常見的瀏覽器(包括 Chrome，Safari，F(xiàn)irefox 和 Edge)都支持 CSP，并且在保護客戶端執(zhí)行 Shadow Code 方面至關重要。

攻擊者訪問 Web 服務器，并在 javascript 中添加 frame-src 或 child-src 指令以允許注入的代碼加載并執(zhí)行它，從而繞過 CSP 強制執(zhí)行，這樣就輕而易舉地繞過站點的安全策略。

該漏洞是在 Chrome 中發(fā)現(xiàn)的，Chrome 是當今使用最廣泛的瀏覽器，擁有超過 20 億用戶，并且在瀏覽器市場中所占的比重超過 65%，因此影響是巨大的。CSP 是網站所有者用來強制執(zhí)行數(shù)據安全策略以防止在其網站上執(zhí)行惡意的 Shadow Code 的主要方法，因此，當繞過瀏覽器強制執(zhí)行時，個人用戶數(shù)據將受到威脅。

除了少數(shù)由于服務器端控制的增強 CSP 策略而不受此漏洞影響的網站之外，許多網站還容易受到 CSP 繞過和潛在惡意腳本執(zhí)行的影響。這些網站包括世界上一些知名大網站，例如 Facebook，Wells Fargo，Zoom，Gmail，WhatsApp，Investopedia，ESPN，Roblox，Indeed，TikTok，Instagram，Blogger 和 Quora。再加上攻擊者越來越容易獲得未經授權的 Web 服務器訪問權限時，此 CSP 繞過漏洞可能會導致大量數(shù)據泄露。據估計 , 惡意代碼植入其中 , 跨行業(yè)(包括電子商務，銀行，電信，政府和公用事業(yè))的數(shù)千個站點在黑客設法注入的情況下沒有受到保護。這意味著數(shù)十億用戶有可能遭受繞過站點安全策略的惡意代碼破壞其數(shù)據的風險。

受影響產品及版本

此漏洞影響 Chrome 84 版之前版本

解決方案

此漏洞由 Chrome 84 或更高版本修復

最后建議

由于該漏洞在 Chrome 瀏覽器中已經存在了一年多，因此尚不清楚其全部含義。在未來幾個月中，我們很有可能會了解到數(shù)據泄露，這些數(shù)據被利用并導致出于惡意目的而泄露個人身份信息(PII)。但是，采取行動還為時不晚。建議如下：

1. 考慮添加其他安全性層，例如隨機數(shù)或哈希。這將需要一些服務器端實現(xiàn)。
2. 僅 CSP 對大多數(shù)網站而言還不夠，因此，請考慮添加其他安全層
3. 考慮基于 JavaScript 的影子代碼檢測和監(jiān)視，以實時緩解網頁代碼注入。
4. 確保您的 Chrome 瀏覽器版本為 84 或更高版本。