Pokud jste svůj prohlížeč dosud neaktualizovali na nejnovější verzi, je na to ideální doba. Nově objevená chyba zabezpečení ukázala, že téměř každý web na světě je ohrožen.
Chyba prohlížeče Google Chrome umožnila útočníkům úplně obejít pravidla zabezpečení obsahu (CSP) od Chrome 73 (březen 2019). Mezi citlivé weby patří Facebook, Gmail, TikTok, Instagram, WhatsApp a Wells Fargo (velká severoamerická banka).
Tento problém, který se nazývá CVE-2020-6519, umožňuje spuštění škodlivého kódu na napadených webech. To může ohrozit i finanční zabezpečení běžných uživatelů.
Přečtěte si více: Paulo Guedes chce zdanit knihy: pirátství se může zvýšit, uvádí studie
Zajímavé je, že Tencent Security podle všeho upozorňuje na stejnou chybu před rokem Xuanwu Lab, jen měsíc po vydání Chrome 73 v březnu 2019, ale nikdy nebyla opravena, dokud PerimeterX neoznámil problém počátkem března.
Po zveřejnění zjištění na Googlu vydal tým Chrome opravu chyby zabezpečení v aktualizaci Chrome 84 (verze 84.0.4147.89), která byla uvedena do provozu 14. července.
CSP je další vrstva zabezpečení, která pomáhá detekovat a zmírňovat určité typy útoků, včetně Cross-Site Scripting (XSS) a útoků na vkládání dat. S pravidly CSP může web vyžadovat, aby oběť provedla určité kontroly na straně klienta ze svého prohlížeče, aby blokovala určité skripty určené k zneužití důvěry prohlížeče v obsah, který přijímá ze serveru.
Protože CSP je primární metoda, kterou používají vlastníci webových stránek k vynucování zásad zabezpečení dat a zabránění spuštění škodlivých skriptů, obejití CSP může ohrozit uživatelská data.
Toho lze dosáhnout zadáním domén, které by měl prohlížeč považovat za platné zdroje spustitelných skriptů, takže prohlížeč kompatibilní s CSP spustí pouze skripty načtené na zdrojové soubory z těchto povolených domén, ostatní ignoruje.
Chyba objevená společnostmi Tencent a PerimeterX obchází CSP nakonfigurovaného pro web předáním škodlivého kódu JavaScript do vlastnosti „src“ prvku HTML iframe.
Je důležité si uvědomit, že weby jako Twitter, Github, LinkedIn, Google Play Store, přihlašovací stránka Yahoo, PayPal a Yandex nejsou považovány za zranitelné, protože zásady CSP jsou vynucovány pomocí nonce nebo hash. spouštění vložených skriptů. .
“Mít chybu v mechanismu provádění CSP prohlížeče Chrome přímo neznamená, že jsou stránky porušovány, protože útočníci také potřebují získat přístup k webu, aby mohli spouštět škodlivý kód (proto je tato chyba klasifikována jako středně závažná) Gal Weizman z PerimeterX poznamenal .
I když důsledky této chyby zabezpečení nejsou známy, měli by uživatelé aktualizovat své prohlížeče na nejnovější verzi, aby chránili před spuštěním takového kódu. Naproti tomu se majitelům webových stránek doporučuje ke zvýšení bezpečnosti používat nonce a hash funkce CSP.
Nejnovější aktualizace prohlížeče Chrome 84.0.4147.125 pro systémy Windows, Mac a Linux navíc řeší 15 dalších chyb zabezpečení, z nichž 12 je klasifikováno jako „vysoká“ a dvě jako „nízká“ závažnost.
Článek byl přeložen a upraven z Hacker News.
Získejte nejdůležitější zprávy z Telegram Cointimes Market přímo do svého mobilního telefonu bez nákladů.