Chrome浏览器发现漏洞，致使数十亿用户的敏感数据恐有被盗风险_

“建议Chrome用户们，尽快升级至最新版本。

大数据产业创新服务媒体

——聚焦数据 · 改变商业

数据猿报道，8月10日，PerimeterX网络安全研究人员Gal Weizman表示，在Windows、Mac和Android系统上基于Chromium内核的浏览器Chrome、Opera和Edge中，发现了零日CSP绕过漏洞（漏洞编号为CVE-2020-6519）。

据悉，该漏洞使攻击者可以完全绕过 Chrome 73 版（2019 年 3 月）至 83 版的网络内容安全策略（CSP），进而窃取用户数据并执行流氓代码，但84版本已在7月发布，并修复了该漏洞。这一漏洞使得潜在受影响用户达数十亿，其中 Chrome 拥有超过 20 亿用户。

目前，谷歌Chrome浏览器市场份额超过了65％。

零日漏洞(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

CSP 指的是内容安全策略 , 是由万维网联盟 (WWW)定义的一种功能，它是指导浏览器强制执行某些客户端策略的 Web 标准的一部分。利用CSP规则，网站可以指示浏览器阻止或允许特定请求，包括特定类型的 JavaScript 代码执行。这样可以确保为站点访问者提供更强的安全性，并保护他们免受恶意脚本的攻击。开发人员使用 CSP 保护其应用程序免受 Shadow Code 注入漏洞和跨站点脚本的攻击(XSS)，并降低其应用程序执行的特权。Web 应用程序所有者为他们的站点定义 CSP 策略，然后由浏览器实施。大多数常见的浏览器（如Chrome，Safari，Firefox 和 Edge）都支持 CSP，并且在保护客户端执行 Shadow Code 方面至关重要。

攻击者访问 Web 服务器，并在 javascript 中添加 frame-src 或 child-src 指令以允许注入的代码加载并执行它，从而绕过 CSP 强制执行，这样就轻而易举地绕过站点的安全策略。

对此，Weizman在报告中表示：“CSP是网站所有者用来执行数据安全策略以防止在其网站上执行恶意影子代码的主要方法，因此当绕过浏览器执行时，个人用户数据将面临风险。”

目前，大多数网络均使用CSP策略，比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo、Quora和Zoom等互联网巨头。当然，也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不会受此次漏洞的影响。

但是，如今的攻击者越来越容易获得未经授权的 Web 服务器访问权限，所以，此CSP绕过漏洞可能会导致大量数据泄露。据估计 , 恶意代码植入其中 , 跨行业（包括电子商务，银行，电信，政府和公用事业）的数千个站点在黑客设法注入的情况下没有受到保护。这意味着数十亿用户有可能遭受绕过站点安全策略的恶意代码破坏其数据。

Chrome的CSP强制执行机制中存在漏洞并不直接表示网站已被破坏，因为攻击者还需要设法从该网站获取恶意脚本。不过，网站信任的安全机制存在漏洞，安全机制原本可以对第三方脚本执行更严格的策略，但是因为漏洞会让网站认为他们是安全的而允许他们通过。

攻击者利用该漏洞获取Web服务器权限（通过暴破密码或者其他方式）并修改JavaScript利用代码。在JavaScipt中增加 frame-src或者child-src指令，攻击者利用这种方式饶过CSP策略执行、绕过网站安全规则。

经验证后，该漏洞的威胁程度为中等（6.5分），然而，因为该漏洞涉及CSP策略执行，所以影响很广。网站开发人员允许第三方脚本修改支付页面，比如知道CSP会限制敏感信息，所以破坏或者绕过CSP，便可以窃取用户敏感信息比如支付密码等。这无疑给网站用户的信息安全带来很大的风险。

该漏洞在Chrome浏览器中存在超过一年了，目前该漏洞已经修复。但是该漏洞的后续影响尚不明确，一旦遭到利用，用户数据遭窃取用于非法途径，后果将不堪设想。

在报告中还可以看到安全研究人员测试浏览器或者网站是否容易受到该漏洞影响的过程，创建一个简单的脚本，当通过devtools控制台执行该脚本时，可以测试所有这些网站，该脚本将立即通知当前的浏览器/网站是否由于CSP/Old Chrome配置错误而受到CVE-2020-6519的攻击。尝试从https://pastebin.com/raw/XpHsfXJQ正常加载外部js脚本，并加载漏洞利用程序。