資安廠商 PerimeterX 的研究人員,近日發表研究報告,指出市面上以 Chromium 為基礎的各種瀏覽器,存有一個可讓駭侵者跳過網站內容安全原則(Content Security Policies,CSP)的嚴重 0-day 資安漏洞。
這個 0-day 漏洞駭侵者只要將原本會被瀏覽器的內容安全原則(CSP)阻擋的惡意 javascript 程式碼,包入 iframe 當中,即可輕易繞過 CSP 機制。
以 Chromium 為基礎的瀏覽器,包括 Google Chrome、Opera、Microsoft Edge 等的 Windows、Mac、Android 版本,從 2019 年三月發行的版本 73,到今年七月發行的版本 83,全部存有這個漏洞。
光是 Google Chrome 瀏覽器的市場佔有率就高達 65% 以上,使用者多達 20 億人;再加上許多知名熱門網站,包括 Facebook、Gmail、Zoom、TikTok、Instagram、WhatsApp、Blogger、Quora 等,都無法避免駭侵者利用此 0-day 漏洞執行惡意程式碼,因此這個漏洞影響層面極廣,若遭有心人士惡意利用,可能帶來的衝擊也不容忽視。
但也有一些知名熱門網站,例如 Twitter、Github、LinkedIn、Google Play Store、Yahoo 登入頁面、PayPal 等,其 CSP 以 nonce 或 hash 機制加強保護,因此不受本漏洞的影響。
這個漏洞編號為 CVE-2020-6519,其 cvss 影響嚴重程度評分為 6.5 分,屬中等嚴重程度。Chromium 瀏覽器用戶應盡速升級至 84 以上版本,始可避免受此漏洞影響;網站管理者應使用 nonce 或 hash 功能,以加強 CSP 的防護能力。
- CVE編號:CVE-2020-6519
- 影響產品/版本:以 Chromium 為基礎的瀏覽器,包括 Google Chrome、Micrisift Edge、Opera 等,版本 73 至 83,Windows、Mac、Android 平台
- 解決方案:用戶應升級至版本 84 以上,網站管理者應加強 CSP 防護能力
- 參考連結
https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/
https://nvd.nist.gov/vuln/detail/CVE-2020-6519
- 【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/newepaper/lp-67-3.html
留言列表