您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

浏览器爆出严重漏洞,谷歌、微软、Opera电脑版和安卓版都受影响

时间:2020-08-13 12:34:30  来源:  作者:
浏览器爆出严重漏洞,谷歌、微软、Opera电脑版和安卓版都受影响

 

如果您最近尚未将Chrome,Opera或Edge网络浏览器更新到最新的可用版本,则最好尽快进行更新。

网络安全研究人员周一披露了有关适用于windowsmacAndroid的基于Chromium的Web浏览器零日漏洞的详细信息,该漏洞可能使攻击者自Chrome 73开始完全绕过内容安全策略(CSP)规则。

跟踪为CVE-2020-6519(CVSS等级为6.5),此问题源于CSP绕过,导致目标网站上恶意代码的任意执行。

根据PerimeterX,一些最受欢迎的网站,包括Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora,都容易受到CSP绕过。

有趣的是,腾讯安全玄武实验室似乎在一年多前也发现了相同的漏洞,距2019年3月Chrome 73发布仅一个月,但直到PerimeterX在今年三月初报告此问题后才得以解决。

在将发现信息披露给google之后,Chrome团队发布了针对Chrome 84更新(版本84.0.4147.89)中漏洞的修复程序,该更新于上个月的7月14日开始推出。

CSP是安全性的额外一层,可帮助检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。借助CSP规则,网站可以要求受害者的浏览器执行某些客户端检查,以阻止旨在利用浏览器信任从服务器接收的内容的特定脚本。

浏览器爆出严重漏洞,谷歌、微软、Opera电脑版和安卓版都受影响

 

鉴于CSP是网站所有者用来实施数据安全策略并防止执行恶意脚本的主要方法,因此CSP绕过可以有效地使用户数据面临风险。

这是通过指定浏览器应视为有效的可执行脚本源的域来实现的,以便与CSP兼容的浏览器仅执行从那些允许列出的域接收的源文件中加载的脚本,而忽略所有其他域。

浏览器爆出严重漏洞,谷歌、微软、Opera电脑版和安卓版都受影响

 

腾讯和PerimeterX发现的漏洞仅通过在html iframe元素的“ src”属性中传递恶意的JAVAScript代码来绕过为网站配置的CSP。

值得注意的是,由于CSP策略是使用随机数或哈希值来执行内联脚本的,因此未发现Twitter,Github,LinkedIn,Google Play Store,Yahoo的Login Page,PayPal和Yandex等网站容易受到攻击。

“ Chrome浏览器的CSP实施机制中存在漏洞并不直接表示网站已被破坏,因为攻击者还需要设法从该网站获取恶意脚本(这就是为什么该漏洞被归为中等严重性的原因,”)PerimeterXGal Weizman指出。

尽管该漏洞的影响仍然未知,但用户必须将其浏览器更新到最新版本,以防止执行此类代码。建议网站所有者使用CSP的随机数和哈希功能来增强安全性。

除此之外,针对Windows,Mac和linux系统的最新Chrome更新84.0.4147.125还修补了15个其他安全漏洞,其中12个安全漏洞的等级为“高”和“低”。



Tags:浏览器   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一. 配置yum源在目录 /etc/yum.repos.d/ 下新建文件 google-chrome.repovim /etc/yum.repos.d/google-chrome.repo按i进入编辑模式写入如下内容:[google-chrome]name=googl...【详细内容】
2021-12-23  Tags: 浏览器  点击:(7)  评论:(0)  加入收藏
Safari是苹果在iPhone和iPad上的默认网络浏览器。虽然我们天天都在使用,但是,你是否深入研究了Safari的所有功能和设置?"无痕浏览"、"阅读器"视图和下载文件等标准选项只是其...【详细内容】
2021-12-16  Tags: 浏览器  点击:(20)  评论:(0)  加入收藏
大家好,我是Stark-C。油猴简介【油猴】一款免费的浏览器扩展和最为流行的用户脚本管理器,它是一个附加组件(扩展程序),让用户安装一些脚本使大部分HTML为主的网页改变得更方便易...【详细内容】
2021-12-13  Tags: 浏览器  点击:(43)  评论:(0)  加入收藏
年末,又到了各大厂商盘点年度最佳的时候了。不过让世超感到意外的是 Google 竟然给自己 Chrome 的插件,做了一个 2021 年精选集锦,挑选出了 13 款今年最热门的 Chrome 插件。...【详细内容】
2021-12-13  Tags: 浏览器  点击:(19)  评论:(0)  加入收藏
当我们浏览知乎、Youtube、贴吧、CSDN等等,总会遇到服务商一些广告;复制文章的时候,剪切板总是自带一些版权信息;还有一些网页配色很亮,眼睛看着很不舒服。反正就是各种不爽。给...【详细内容】
2021-12-08  Tags: 浏览器  点击:(27)  评论:(0)  加入收藏
谷歌访问助手插件是专门针对chrome谷歌浏览器而开发的一款访问插件,可以为谷歌搜索,谷歌chrome商店,gmail邮箱提供加速服务,解决打不开的问题。这款插件可以帮助我们在使用谷歌...【详细内容】
2021-12-03  Tags: 浏览器  点击:(12)  评论:(0)  加入收藏
微软似乎正努力增强 Edge 浏览器和网页端 Office 之间的整合联动。Reddit 社区用户 u/Leopeva64-2指出,Edge Canary 的最新版本在标签的右键菜单中有一个新选项。如果你在窗...【详细内容】
2021-11-11  Tags: 浏览器  点击:(35)  评论:(0)  加入收藏
IOS15推送后,Safari也支持扩展了,这里给大家推荐几款Safari扩展软件,希望对你手机使用有所帮助。 扩展功能 IOS15可以通过设置——Safari浏览器——更多扩...【详细内容】
2021-11-08  Tags: 浏览器  点击:(131)  评论:(0)  加入收藏
一、判断是否IE浏览器(支持判断IE11与edge)function IEVersion() {var userAgent = navigator.userAgent; //取得浏览器的userAgent字符串var isIE = userAgent.indexOf("comp...【详细内容】
2021-11-02  Tags: 浏览器  点击:(39)  评论:(0)  加入收藏
作为当今最差的浏览器,虽说IE即将推出历史的舞台,但是因为项目需要还是需要支持。那么必须判断是否是IE,如果是IE,需要做些特殊处理。document.documentMode 是IE特有的属性,可以...【详细内容】
2021-10-25  Tags: 浏览器  点击:(35)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(7)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(13)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(188)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(185)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(155)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(135)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(560)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条