漏洞網(wǎng)頁(yè)

5 月下旬，有安全研究人員發(fā)現(xiàn)谷歌 Chrome 中存在嚴(yán)重漏洞，影響所有主要操作系統(tǒng)（包括 Windows，Mac 和 Linux）的網(wǎng)頁(yè)瀏覽軟件。在沒(méi)有透露有關(guān)該漏洞任何技術(shù)細(xì)節(jié)的情況下，Chrome安全團(tuán)隊(duì)在本周三（6月6日）發(fā)布的一篇博客文章中指出，該漏洞被追蹤為CVE-2018-6148，是由于瀏覽器錯(cuò)誤處理CSP響應(yīng)頭導(dǎo)致的。CSP，英文全稱Content Security Policy，指的是內(nèi)容安全策略。CSP官網(wǎng)是這樣介紹它的：“The new Content-Security-Policy HTTP response header helps you reduce XSS risks on modern browsers by declaring what dynamic resources are allowed to load via a HTTP Header.”大體意思說(shuō)的是，通過(guò)在HTTP的響應(yīng)頭中設(shè)定CSP規(guī)則，可以規(guī)定當(dāng)前網(wǎng)頁(yè)能夠加載的資源的白名單，從而減少網(wǎng)頁(yè)遭受跨站腳本（XSS）攻擊的風(fēng)險(xiǎn)。因此，CSP可以說(shuō)是一個(gè)在現(xiàn)代瀏覽器加載資源白名單的安全機(jī)制，只有響應(yīng)頭中白名單里列出的資源才能夠被加載和執(zhí)行，從而給網(wǎng)頁(yè)添加額外的安全層。由于谷歌Chrome瀏覽器對(duì)CSP響應(yīng)頭的錯(cuò)誤處理，導(dǎo)致攻擊者能夠在任何目標(biāo)網(wǎng)頁(yè)上執(zhí)行跨站點(diǎn)腳本、點(diǎn)擊劫持和其他類型的代碼注入攻擊。Chrome 安全團(tuán)隊(duì)接到漏洞報(bào)告后，將其列為 CSP 頭相關(guān)的漏洞，并表示目前將保留漏洞細(xì)節(jié)，在大部分用戶更新修復(fù)之后才會(huì)放出。目前，針對(duì)Windows，Mac 和Linux 操作系統(tǒng)的最新穩(wěn)定版 Chrome 67.0.3396.79 已將漏洞補(bǔ)丁推送給用戶，提醒用戶盡快更新。

Tags：漏洞網(wǎng)頁(yè)，Chrome 曝出最新高危漏洞，需盡快更新修復(fù)

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。