扫瞄器爆出严峻漏洞,谷歌、防DDoS微软、Opera电脑版和安卓版都受阻碍-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 扫瞄器爆出严峻漏洞,谷歌、防DDoS微软、Opera电脑版和安卓版都受阻碍

扫瞄器爆出严峻漏洞,谷歌、防DDoS微软、Opera电脑版和安卓版都受阻碍

小墨安全管家 2020-08-13 01:06 CC防护 89 ℃
DDoS防御

值得注意的是,由于CSP策略是使用随机数或哈希值来执行内联足本的,所以未发觉Twitter,Github,LinkedIn,Google Play Store,Yahoo的Login Page,PayPal和Yandex等网站容易受到攻击。

在将发觉信息披露给Google之后,Chrome团队公布了针对Chrome 84更新(版本84.0.4147.89)中漏洞的修复程序,该更新于上个月的7月14日开始推出。

腾讯和PerimeterX发觉的漏洞仅经过在HTML iframe元素的“ src”属性中传递恶意的JavaScript代码来绕过为网站配置的CSP。

CSP是安全性的额外一层,可关心检测和缓解某些类型的攻击,包括跨站点足本(XSS)和数据注入攻击。借助CSP规则,网站能够要求受害者的扫瞄器执行某些客户端检查,以阻挠旨在利用扫瞄器信任从服务器接收的内容的特定足本。

有味的是,腾讯安全玄武实验室也许在一年多前也发觉了相同的漏洞,距2019年3月Chrome 73公布仅一具月,但直到PerimeterX在今年三月初报告此咨询题后才得以解决。

这是经过指定扫瞄器应视为有效的可执行足本源的域来实现的,以便与CSP兼容的扫瞄器仅执行从那些允许列出的域接收的源文件中加载的足本,而忽略所有其他域。

浏览器爆出严重漏洞,谷歌、防DDoS微软、Opera电脑版和安卓版都受妨碍

网络安全研究人员周一披露了有关适用于Windows,Mac和Android的基于Chromium的Web扫瞄器零日漏洞的详细信息,该漏洞大概使攻击者自Chrome 73开始彻底绕过内容安全策略(CSP)规则。

鉴于CSP是网站所有者用来实施数据安全策略并防止执行恶意足本的要紧想法,所以CSP绕过能够有效地使用户数据面临风险。

虽然该漏洞的阻碍仍然未知,但用户必须将其扫瞄器更新到最新版本,以防止执行此类代码。建议网站所有者使用CSP的随机数和哈希功能来增强安全性。

除此之外,针对Windows,Mac和Linux系统的最新Chrome更新84.0.4147.125还修补了15个其他安全漏洞,其中12个安全漏洞的等级为“高”和“低”。

依照PerimeterX,一些特别受欢迎的网站,包括Facebook,Wells Fargo,Zoom,Gmail,WhatsApp,Investopedia,ESPN,Roblox,Indeed,TikTok,Instagram,Blogger和Quora,都容易受到CSP绕过。

假如您最近尚未将Chrome,Opera或Edge网络扫瞄器更新到最新的可用版本,则最好尽快举行更新。

“ Chrome扫瞄器的CSP实施机制中存在漏洞并不直截了当表示网站已被破坏,因为攻击者还需要设法从该网站猎取恶意足本(这算是为啥该漏洞被归为中等严峻性的缘由,”)PerimeterXGal Weizman指出。

跟踪为CVE-2020-6519(CVSS等级为6.5),此咨询题源于CSP绕过,导致目标网站上恶意代码的任意执行。


DDoS防御

当前位置:主页 > CC防护 > 扫瞄器爆出严峻漏洞,谷歌、防DDoS微软、Opera电脑版和安卓版都受阻碍

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119