Новости и события » Общество » Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей

Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей

Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей

Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода.

Уязвимость ( CVE-2020-6519 ) была обнаружена исследователем безопасности компании PerimeterX Галом Вайзманом (Gal Weizman). Проблема присутствует в Chrome, Opera и Edge на Windows, Mac и Android и затрагивает миллиарды интернет-пользователей. Что касается Chrome, то уязвимыми являются версии от 73 (выпущена в марте 2019 года) до 83. В выпущенной в июле нынешнего года версии Chrome 84 проблема уже исправлена.

CSP - это web-стандарт, обеспечивающий дополнительный уровень защиты и помогающий обнаруживать и смягчать некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных. CSP позовляет администраторам web-сайтов указывать домены, которые браузер может считать доверенным источником для загрузки исполняемых скриптов. Браузеры с поддержкой этого стандарта будут выполнять и загружать файлы только с указанных доменов.

Среди прочих, CSP используют такие интернет-гиганты, как ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom. Проблема не затрагивает GitHub, Google Play Store, LinkedIn, PayPal, Twitter, страницу авторизации Yahoo и "Яндекс".

Для эксплуатации уязвимости злоумышленник сначала должен получить доступ к web-серверу (например, подобрав пароль с помощью брутфорса, или каким-либо другим способом), чтобы иметь возможность модифицировать используемые им JavaScript-коды. Затем атакующий может добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их и тем самым обойти CSP.

Поскольку для эксплуатации уязвимости нужен доступ к web-серверу, она сичитается среднеопасной (6,5 балла из 10 по шкале CvSS). Однако, так как баг влияет на обеспечение соблюдения политики защиты контента, его эксплуатация может иметь серьезные последствия, предупредил Вайзман.

Android TikTok


Магія східної кухні: особливості та традиції

Магія східної кухні: особливості та традиції

Східна кухня відома різноманіттям ароматів та смаків. Вона заснована на глибоких традиціях, історії та має особливості приготування. Звички формувалися впродовж багатьох століть під впливом різних культур та географічних особливостей. Вони присутні в кожній...

вчера 15:32

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх