谷歌 Chrome 扫瞄器发觉漏DDoS防御洞,需尽快升至 84 及以上版本-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 谷歌 Chrome 扫瞄器发觉漏DDoS防御洞,需尽快升至 84 及以上版本

谷歌 Chrome 扫瞄器发觉漏DDoS防御洞,需尽快升至 84 及以上版本

小墨安全管家 2020-08-11 12:43 CC防护 89 ℃
DDoS防御

漏洞阻碍 Chrome 84 版之前版本

思量添加其他安全性层,例如随机数或哈希。这将需要一些服务器端实现。

受阻碍产品及版本

攻击者访咨询 Web 服务器,并在 javascript 中添加 frame-src 或 child-src 指令以允许注入的代码加载并执行它,从而绕过 CSP 强制执行,如此就轻而易举地绕过站点的安全策略。

8 月 10 日 , 安全研究员在 Windows,Mac 和 Android 的基于 Chromium 的扫瞄器(Chrome,Opera 和 Edge)中发觉了零日 CSP 绕过漏洞(CVE-2020-6519)。该漏洞使攻击者能够彻底绕过 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 规则 , 潜在受阻碍的用户为数十亿,其中 Chrome 拥有超过 20 亿用户。以下是漏洞详情:

谷歌 Chrome 浏览器发明漏DDoS谨防洞,需尽快升至 84 及以上版本

该漏洞是在 Chrome 中发觉的,Chrome 是当今使用最广泛的扫瞄器,拥有超过 20 亿用户,同时在扫瞄器市场中所占的比重超过 65%,所以阻碍是巨大的。CSP 是网站所有者用来强制执行数据安全策略以防止在其网站上执行恶意的 Shadow Code 的要紧想法,所以,当绕过扫瞄器强制执行时,个人用户数据将受到威胁。

最终建议

漏洞详情

由于该漏洞在 Chrome 扫瞄器中基本存在了一年多,所以尚不清晰其全部含义。在今后几个月中,我们特别有大概会了解到数据泄露,这些数据被利用并导致出于恶意目的而泄露个人身份信息(PII)。然而,采取行动还为时不晚。建议如下:

除了少数由于服务器端操纵的增强 CSP 策略而不受此漏洞阻碍的网站之外,很多网站还容易受到 CSP 绕过和潜在恶意足本执行的阻碍。这些网站包括世界上一些知名大网站,例如 Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger 和 Quora。再加上攻击者越来越容易获得未经授权的 Web 服务器访咨询权限时,此 CSP 绕过漏洞大概会导致大量数据泄露。据恐怕 , 恶意代码植入其中 , 跨行业(包括电子商务,银行,电信,政府和公用事业)的数千个站点在黑客设法注入的事情下没有受到爱护。这意味着数十亿用户有大概遭受绕过站点安全策略的恶意代码破坏其数据的风险。

CSP 指的是内容安全策略 , 是由万维网联盟 (WWW)定义的一种功能,它是指导扫瞄器强制执行某些客户端策略的 Web 标准的一部分。利用 CSP 规则,网站能够指示扫瞄器阻挠或允许特定请求,包括特定类型的 JavaScript 代码执行。如此能够确保为站点访咨询者提供更强的安全性,并爱护他们免受恶意足本的攻击。开辟人员使用 CSP 爱护其应用程序免受 Shadow Code 注入漏洞和跨站点足本的攻击(XSS),并落低其应用程序执行的特权。Web 应用程序所有者为他们的站点定义 CSP 策略,接着由扫瞄器实施。大多数常见的扫瞄器(包括 Chrome,Safari,Firefox 和 Edge)都支持 CSP,同时在爱护客户端执行 Shadow Code 方面至关重要。

确保您的 Chrome 扫瞄器版本为 84 或更高版本。

仅 CSP 对大多数网站而言还不够,所以,请思量添加其他安全层

思量基于 JavaScript 的影子代码检测和监视,以实时缓解网页代码注入。

此漏洞由 Chrome 84 或更高版本修复

解决方案

零日 CSP 绕过漏洞(CVE-2020-6519)

“零日漏洞”(zero-day)又叫零时差攻击,是指被发觉后即将被恶意利用的安全漏洞。通俗地说,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就浮上。这种攻击往往具有特别大的突发性与破坏性。


DDoS防御

当前位置:主页 > CC防护 > 谷歌 Chrome 扫瞄器发觉漏DDoS防御洞,需尽快升至 84 及以上版本

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119