Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.
Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода.
Уязвимость (
CSP - это web-стандарт, обеспечивающий дополнительный уровень защиты и помогающий обнаруживать и смягчать некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных. CSP позовляет администраторам web-сайтов указывать домены, которые браузер может считать доверенным источником для загрузки исполняемых скриптов. Браузеры с поддержкой этого стандарта будут выполнять и загружать файлы только с указанных доменов.
Среди прочих, CSP используют такие интернет-гиганты, как ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom. Проблема не затрагивает GitHub, Google Play Store, LinkedIn, PayPal, Twitter, страницу авторизации Yahoo и "Яндекс".
Для эксплуатации уязвимости злоумышленник сначала должен получить доступ к web-серверу (например, подобрав пароль с помощью брутфорса, или каким-либо другим способом), чтобы иметь возможность модифицировать используемые им JavaScript-коды. Затем атакующий может добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их и тем самым обойти CSP.
Поскольку для эксплуатации уязвимости нужен доступ к web-серверу, она сичитается среднеопасной (6,5 балла из 10 по шкале CvSS). Однако, так как баг влияет на обеспечение соблюдения политики защиты контента, его эксплуатация может иметь серьезные последствия, предупредил Вайзман.
12 Августа, 2020
Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода.
Уязвимость (
Для просмотра ссылки необходимо нажать
Вход или Регистрация
) была
Для просмотра ссылки необходимо нажать
Вход или Регистрация
исследователем безопасности компании PerimeterX Галом Вайзманом (Gal Weizman). Проблема присутствует в Chrome, Opera и Edge на Windows, Mac и Android и затрагивает миллиарды интернет-пользователей. Что касается Chrome, то уязвимыми являются версии от 73 (выпущена в марте 2019 года) до 83. В выпущенной в июле нынешнего года версии Chrome 84 проблема уже исправлена.CSP - это web-стандарт, обеспечивающий дополнительный уровень защиты и помогающий обнаруживать и смягчать некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных. CSP позовляет администраторам web-сайтов указывать домены, которые браузер может считать доверенным источником для загрузки исполняемых скриптов. Браузеры с поддержкой этого стандарта будут выполнять и загружать файлы только с указанных доменов.
Среди прочих, CSP используют такие интернет-гиганты, как ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom. Проблема не затрагивает GitHub, Google Play Store, LinkedIn, PayPal, Twitter, страницу авторизации Yahoo и "Яндекс".
Для эксплуатации уязвимости злоумышленник сначала должен получить доступ к web-серверу (например, подобрав пароль с помощью брутфорса, или каким-либо другим способом), чтобы иметь возможность модифицировать используемые им JavaScript-коды. Затем атакующий может добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их и тем самым обойти CSP.
Поскольку для эксплуатации уязвимости нужен доступ к web-серверу, она сичитается среднеопасной (6,5 балла из 10 по шкале CvSS). Однако, так как баг влияет на обеспечение соблюдения политики защиты контента, его эксплуатация может иметь серьезные последствия, предупредил Вайзман.
12 Августа, 2020