PerimeterX安全研究人员Gal Weizman在本周披露一个存在于Chromium的安全漏洞,该编号为CVE-2020-6519的漏洞将允许黑客绕过网站的内容安全策略(Content Security Policy,CSP),以窃取资料或执行恶意程序,而且波及Chrome73~Chrome 83版本,以及其它采用Chromium的浏览器,幸好Google已在今年7月发布的Chrome 84修补了该漏洞。
CSP是由各家网站所制定的安全策略,用来向浏览器声明该站允许或禁止加载的内容,像是一些特定的调用或javaScript程序代码等,可用来保护用户避免受到跨站脚本(XSS)或恶意javaScript程序代码的攻击,然而,Weizman却发现Chromium的CSP强制执行机制可被绕过,除了Chrome浏览器之外,基于Chromium的Opera或Edge也都被波及,且涵盖Windows版、Mac版及Android版。
这代表就算网站设置了CSP,但只要通过Chromium浏览器访问的用户就有可能会遭到攻击。有些幸免于难的网站,是因为它们在部署CSP时使用了Nonce或Hash加以保护,进而保障了它们的用户,像是Twitter、Github、LinkedIn、Google Play Store, Yahoo登录页面、PayPal与Yandex等。根据Weizman的估计,该漏洞至少波及了数十亿的用户。
不过,要开采该漏洞需要一些程序。Weizman向Threatpost解释,黑客首先必须通过暴力破解或其它方法访问Web服务器,以修改该服务器所使用的JavaScript,并于该JavaScript程序代码中添增frame-src或child-src指令,以允许程序注入及执行,才能绕过浏览器的CSP安全机制并危害网站用户。
这也是为什么CVE-2020-6519仅被列为中度等级的漏洞。除了Weizman之外,腾讯安全玄武实验室的Wenxu Wu也向Google提报了同一个漏洞,他们各自获得了3,000美元的漏洞挖掘奖励。
目前主要的浏览器多采用自动更新,所以除非用户变更了该默认值,否则都应该已经自动升级到最新的版本。