• 發布單位:TWCERT/CC
• 更新日期:2020-08-13
• 點閱次數:2673

資安廠商 PerimeterX 的研究人員，近日發表研究報告，指出市面上以 Chromium 為基礎的各種瀏覽器，存有一個可讓駭侵者跳過網站內容安全原則（Content Security Policies，CSP）的嚴重 0-day 資安漏洞。

這個 0-day 漏洞駭侵者只要將原本會被瀏覽器的內容安全原則（CSP）阻擋的惡意 javascript 程式碼，包入 iframe 當中，即可輕易繞過 CSP 機制。

以 Chromium 為基礎的瀏覽器，包括 Google Chrome、Opera、Microsoft Edge 等的 Windows、Mac、Android 版本，從 2019 年三月發行的版本 73，到今年七月發行的版本 83，全部存有這個漏洞。

光是 Google Chrome 瀏覽器的市場佔有率就高達 65% 以上，使用者多達 20 億人；再加上許多知名熱門網站，包括 Facebook、Gmail、Zoom、TikTok、Instagram、WhatsApp、Blogger、Quora 等，都無法避免駭侵者利用此 0-day 漏洞執行惡意程式碼，因此這個漏洞影響層面極廣，若遭有心人士惡意利用，可能帶來的衝擊也不容忽視。

但也有一些知名熱門網站，例如 Twitter、Github、LinkedIn、Google Play Store、Yahoo 登入頁面、PayPal 等，其 CSP 以 nonce 或 hash 機制加強保護，因此不受本漏洞的影響。

這個漏洞編號為 CVE-2020-6519，其 cvss 影響嚴重程度評分為 6.5 分，屬中等嚴重程度。Chromium 瀏覽器用戶應盡速升級至 84 以上版本，始可避免受此漏洞影響；網站管理者應使用 nonce 或 hash 功能，以加強 CSP 的防護能力。

• CVE編號：CVE-2020-6519
• 影響產品/版本：以 Chromium 為基礎的瀏覽器，包括 Google Chrome、Micrisift Edge、Opera 等，版本 73 至 83，Windows、Mac、Android 平台
• 解決方案：用戶應升級至版本 84 以上，網站管理者應加強 CSP 防護能力