資安機構 PerimeterX 在其最新的報告指,基於 Chromium 核心的瀏覽器,存在一個能被繞過的 CSP (內容安全策略) 漏洞。這個漏洞讓攻擊者能輕易地竊取數據或執行惡意代碼,建議用戶更新至 Chrome 84 或更新版本。
這次的漏洞名為 CVE-2020-6519,而且除了在 Chrome 瀏覽器內能找到外,同樣亦存在於 Opera 與新版 Edge 瀏覽器上。而目前 Google 已於 Chrome 84 版本修補漏洞,資安專家建議盡快對其進行更新。
CSP (內容安全策略) 屬於 Web 標準之一,主要用以阻止某些類型的攻擊,如 XSS 或數據注入 (data-injection) 等。PerimeterX 又指 CSP 作為網頁擁有者用於執行數據的安全策略、防止在網站上執行惡意代碼的主要方式,但若果被繞過瀏覽器時,個人用戶的數據將面臨風險。
而據報這個 CVE-2020-6519 漏洞,已經在 Chrome 上存在最少一年以上,而直到最近才獲得徹底修復,造成的影響有多少還未有人知。