請務必立即更新你的谷歌瀏覽器 一個漏洞允許黑客執行多種攻擊

「用指尖改變世界」

安全研究人員Micha?Bentkowski在5月下旬發現並報告了谷歌Chrome瀏覽器存在的一個嚴重漏洞，幾乎所有針對主流操作系統（包括Windows、Mac和Linux）發行的版本都受其影響。

在沒有透露有關該漏洞任何技術細節的情況下，Chrome安全團隊在本周三（6月6日）發布的一篇博客文章中指出，該漏洞被追蹤為CVE-2018-6148，是由於瀏覽器錯誤處理CSP響應頭導致的。

CSP，英文全稱Content Security Policy，指的是內容安全策略。CSP官網是這樣介紹它的：「The new Content-Security-Policy HTTP response header helps you reduce XSS risks on modern browsers by declaring what dynamic resources are allowed to load via a HTTP Header.」

大體意思說的是，通過在HTTP的響應頭中設定CSP規則，可以規定當前網頁能夠載入的資源的白名單，從而減少網頁遭受跨站腳本（XSS）攻擊的風險。因此，CSP可以說是一個在現代瀏覽器載入資源白名單的安全機制，只有響應頭中白名單里列出的資源才能夠被載入和執行，從而給網頁添加額外的安全層。

由於谷歌Chrome瀏覽器對CSP響應頭的錯誤處理，導致攻擊者能夠在任何目標網頁上執行跨站點腳本、點擊劫持和其他類型的代碼注入攻擊。

針對該漏洞的修補程序已經通過適用於Windows、Mac和Linux操作系統的最新穩定版本Chrome 67.0.3396.79推送給用戶，因此我們建議如果你是谷歌Chrome瀏覽器用戶，應該及時進行更新，以避免潛在的安全威脅。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！