按 Enter 到主內容區
:::

TWCERT-電子報

:::

資安廠商發現以 Chromium 為基礎的瀏覽器,均存有可輕易跳過內容安全原則的嚴重 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-08-13
  • 點閱次數:372
資安廠商發現以Chromium為基礎的瀏覽器,均存有可輕易跳過內容安全原則的嚴重0-day漏洞 TWCERT/CC

CVE編號

CVE-2020-6519

內文

資安廠商 PerimeterX 的研究人員,近日發表研究報告,指出市面上以 Chromium 為基礎的各種瀏覽器,存有一個可讓駭侵者跳過網站內容安全原則(Content Security Policies,CSP)的嚴重 0-day 資安漏洞。

這個 0-day 漏洞駭侵者只要將原本會被瀏覽器的內容安全原則(CSP)阻擋的惡意 javascript 程式碼,包入 iframe 當中,即可輕易繞過 CSP 機制。

以 Chromium 為基礎的瀏覽器,包括 Google Chrome、Opera、Microsoft Edge 等的 Windows、Mac、Android 版本,從 2019 年三月發行的版本 73,到今年七月發行的版本 83,全部存有這個漏洞。

光是 Google Chrome 瀏覽器的市場佔有率就高達 65% 以上,使用者多達 20 億人;再加上許多知名熱門網站,包括 Facebook、Gmail、Zoom、TikTok、Instagram、WhatsApp、Blogger、Quora 等,都無法避免駭侵者利用此 0-day 漏洞執行惡意程式碼,因此這個漏洞影響層面極廣,若遭有心人士惡意利用,可能帶來的衝擊也不容忽視。

但也有一些知名熱門網站,例如 Twitter、Github、LinkedIn、Google Play Store、Yahoo 登入頁面、PayPal 等,其 CSP 以 nonce 或 hash 機制加強保護,因此不受本漏洞的影響。

這個漏洞編號為 CVE-2020-6519,其 cvss 影響嚴重程度評分為 6.5 分,屬中等嚴重程度。Chromium 瀏覽器用戶應盡速升級至 84 以上版本,始可避免受此漏洞影響;網站管理者應使用 nonce 或 hash 功能,以加強 CSP 的防護能力。

影響產品

以 Chromium 為基礎的瀏覽器,包括 Google Chrome、Micrisift Edge、Opera 等,版本 73 至 83,Windows、Mac、Android 平台

解決辦法

用戶應升級至版本 84 以上,網站管理者應加強 CSP 防護能力
回頁首