谷歌Chrome漏洞可能会让黑客绕过CSP保护；更新网页浏览器

如果您最近没有将Chrome、Opera或Edge web浏览器更新到最新版本，那么最好尽快更新。

Cybersecurity researchers on Monday disclosed details about a zero-day flaw in Chromium-based web browsers for Windows, Mac and Android that could have allowed attackers to entirely bypass Content Security Policy (CSP) rules since Chrome 73.

该问题被追踪为CVE-2020-6519（CVSS评分为6.5），源于CSP绕过，导致恶意代码在目标网站上任意执行。

据PerimeterX称，一些最受欢迎的网站，包括Facebook、富国银行、Zoom、Gmail、WhatsApp、Investopedia、ESPN、Roblox，甚至TikTok、Instagram、Blogger和Quora，都容易受到CSP绕过的影响。

有趣的是，腾讯安全宣武实验室似乎也在一年多前强调了同样的缺陷，那是在2019年3月Chrome 73发布一个月后，但直到今年3月早些时候PerimeterX报告了这个问题，才得到解决。

在向谷歌披露调查结果后，Chrome团队发布了Chrome 84更新（版本84.0.4147.89）中的漏洞修复程序，该程序于上个月7月14日开始发布。

CSP是一个额外的安全层，有助于检测和减轻特定类型的攻击，包括跨站点脚本（XSS）和数据注入攻击。根据CSP规则，网站可以强制受害者的浏览器执行某些客户端检查，目的是阻止旨在利用浏览器对从服务器接收的内容的信任的特定脚本。


考虑到CSP是网站所有者执行数据安全策略和防止恶意脚本执行的主要方法，CSP旁路可以有效地将用户数据置于风险之中。

这是通过指定浏览器应该视为可执行脚本的有效源的域来实现的，因此，CSP兼容浏览器只执行从那些允许列出的域接收到的源文件中加载的脚本，而忽略所有其他脚本。

腾讯和PerimeterX发现的漏洞仅通过在HTML iframe元素的“src”属性中传递恶意JavaScript代码，就绕过了为网站配置的CSP。

值得注意的是，Twitter、Github、LinkedIn、Google Play Store、Yahoo的登录页面、PayPal和Yandex等网站没有发现漏洞，因为CSP策略是使用nonce或hash来实现的，以允许执行内联脚本。

PerimeterX的Gal Weizman指出：“Chrome的CSP强制机制中存在漏洞并不直接意味着网站被破坏，因为攻击者还需要设法从该网站调用恶意脚本（这就是为什么该漏洞被归类为中等严重性）。”。

虽然该漏洞的影响尚不清楚，但用户必须将浏览器更新到最新版本，以防止此类代码执行。就网站所有者而言，建议他们使用CSP的nonce和hash功能来增加安全性。

除此之外，针对Windows、Mac和Linux系统的最新Chrome更新84.0.4147.125还修补了其他15个安全漏洞，其中12个被评为“高”，两个被评为“低”。