安全研究人员日前曝光谷歌浏览器里某个中危级别的安全漏洞,这个安全漏洞已经存在数年但直到最近才被修复。
攻击者借助这枚安全漏洞可以窃取全球数以亿计的用户数据和执行恶意代码,虽说是中危漏洞但是威胁也非常大。
谷歌浏览器在最近推出的Google Chrome V84版中已经修复,因此用户必须升级到84及以上版本才可确保安全。
CSP内容审核政策里的漏洞
内容审核政策是个被广泛使用的网页标准,该标准只要用来防范某些攻击例如跨站脚本攻击和数据注入等类攻击。
该政策允许网站开发者指定浏览器可以执行脚本的有效范围,这样可以只让浏览器执行可信脚本用来提高安全性。
研究人员则发现内容审核策略中存在漏洞,借助该漏洞攻击者可以绕过内容审核策略从而执行恶意代码窃取数据。
当然因为攻击方法相对来说比较困难,因此漏洞评级为中危漏洞,但如果不幸遭到攻击则所有数据都可以被窃取。
要想利用该漏洞攻击者必须事先通过其他手段攻击服务器,然后篡改网页加载的脚本添加注入代码进行强制执行。
成功利用该方法的话可以直接绕过内容审核策略从而加载恶意代码,借助恶意代码攻击者便可截获用户所有数据。
漏洞存在1年但没有证据表明被利用
这枚漏洞自Google Chrome v73版就开始存在了 , 谷歌在Google Chrome v84版中已对这枚中危漏洞进行修复。
因此使用谷歌浏览器的用户请确保你已经使用最新版本,已经开启自动更新的用户无需担心因为联网及即可升级。
未开启自动更新的用户请转到谷歌浏览器中国官方网站 https://www.google.cn/chrome/ 下载最新版覆盖安装。
无论是通过在线安装包还是离线安装包进行覆盖安装或升级即可,完成安装后可以转到关于页面查看浏览器版本。