Chrome浏览器零日漏洞或影响数十亿用户
新浪科技8月10日消息,安全研究员在Windows,Mac和Android的基于Chromium的浏览器(Chrome,Opera和Edge)中发现了零日CSP绕过漏洞(CVE-2020-6519)。该漏洞使攻击者可以完全绕过Chrome 73版(2019年3月)至83版的CSP规则,潜在受影响的用户为数十亿,其中Chrome拥有超过20亿用户。“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。CSP指的是内容安全策略,它是指导浏览器强制执行某些客户端策略的Web标准的一部分。攻击者访问Web服务器,并在javascript中添加frame-src或child-src指令以允许注入的代码加载并执行它,从而绕过CSP强制执行,这样就轻而易举地绕过站点的安全策略。
