8月10日，安全研究員在Windows，Mac和Android的基于Chromium的瀏覽器(Chrome，Opera和Edge)中發現了零日CSP繞過漏洞(CVE-2020-6519)。該漏洞使攻擊者可以完全繞過Chrome 73版(2019年3月)至83版的CSP規則，潛在受影響的用戶為數十億，其中Chrome擁有超過20億用戶。 以下是漏洞詳情：

　　漏洞詳情

　　零日CSP繞過漏洞(CVE-2020-6519)

　　“零日漏洞”(zero-day)又叫零時差攻擊，是指被發現后立即被惡意利用的安全漏洞。通俗地講，即安全補丁與瑕疵曝光的同一日內，相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。

　　CSP指的是內容安全策略，是由萬維網聯盟(WWW)定義的一種功能，它是指導瀏覽器強制執行某些客戶端策略的Web標準的一部分。利用CSP規則，網站可以指示瀏覽器阻止或允許特定請求，包括特定類型的JavaScript代碼執行。這樣可以確保為站點訪問者提供更強的安全性，并保護他們免受惡意腳本的攻擊。開發人員使用CSP保護其應用程序免受Shadow Code注入漏洞和跨站點腳本的攻擊(XSS)攻擊，并降低其應用程序執行的特權。Web應用程序所有者為他們的站點定義CSP策略，然后由瀏覽器實施。大多數常見的瀏覽器(包括Chrome，Safari，Firefox和Edge)都支持CSP，并且在保護客戶端執行Shadow Code方面至關重要。

　　攻擊者訪問Web服務器，并在javascript中添加frame-src或child-src指令以允許注入的代碼加載并執行它，從而繞過CSP強制執行，這樣就輕而易舉地繞過站點的安全策略。

　　該漏洞是在Chrome中發現的，Chrome是當今使用最廣泛的瀏覽器，擁有超過20億用戶，并且在瀏覽器市場中所占的比重超過65%，因此影響是巨大的。CSP是網站所有者用來強制執行數據安全策略以防止在其網站上執行惡意的Shadow Code的主要方法，因此，當繞過瀏覽器強制執行時，個人用戶數據將受到威脅。

　　除了少數由于服務器端控制的增強CSP策略而不受此漏洞影響的網站之外，許多網站還容易受到CSP繞過和潛在惡意腳本執行的影響。這些網站包括世界上一些知名大網站，例如Facebook，Wells Fargo，Zoom，Gmail，WhatsApp，Investopedia，ESPN，Roblox，Indeed，TikTok，Instagram，Blogger和Quora。再加上攻擊者越來越容易獲得未經授權的Web服務器訪問權限時，此CSP繞過漏洞可能會導致大量數據泄露。據估計，惡意代碼植入其中，跨行業(包括電子商務，銀行，電信，政府和公用事業)的數千個站點在黑客設法注入的情況下沒有受到保護。這意味著數十億用戶有可能遭受繞過站點安全策略的惡意代碼破壞其數據的風險。

　　受影響產品及版本

　　此漏洞影響Chrome 84版之前版本

　　解決方案

　　此漏洞由Chrome 84或更高版本修復

　　最后建議

　　由于該漏洞在Chrome瀏覽器中已經存在了一年多，因此尚不清楚其全部含義。在未來幾個月中，我們很有可能會了解到數據泄露，這些數據被利用并導致出于惡意目的而泄露個人身份信息(PII)。但是，采取行動還為時不晚。建議如下：

　　1。考慮添加其他安全性層，例如隨機數或哈希。這將需要一些服務器端實現。

　　2。僅CSP對大多數網站而言還不夠，因此，請考慮添加其他安全層

　　3。考慮基于JavaScript的影子代碼檢測和監視，以實時緩解網頁代碼注入。

　　4。確保您的Chrome瀏覽器版本為84或更高版本。