谷歌安全研究人员MichałBentkowski在5月下旬发现并报告了谷歌浏览器存在严重漏洞,影响所有主要操作系统(包括Windows,Mac和Linux)的网页浏览软件。
Chrome安全团队指出:在没有透露任何有关漏洞的技术细节的情况下,Chrome安全团队将此问题描述为在今天发布的博客文章中错误处理CSP头(CVE-2018-6148)。
“访问错误细节和链接可能会受到限制,直到大多数用户更新了修复程序。如果错误存在于其他项目同样依赖但尚未修复的第三方库中,我们也会保留限制“。
内容安全策略(ContentSecurityPolicy,CSP)头允许网站管理员通过允许他们控制允许浏览器加载的资源来在给定网页上添加额外的安全层。
您的Web浏览器对CSP头的错误处理可能会重新使黑客攻击者能够在任何目标网页上执行跨站点脚本,点击劫持和其他类型的代码注入攻击。
针对Windows,Mac和Linux操作系统的稳定版Chrome更新67.0.3396.79已将该漏洞修补程序推出给其用户,用户可能已经在未来几天/几周内收到或将收到该修补程序。
Firefox还发布了其新版本的Firefox浏览器,版本60.0.2其中包括安全性和错误修复。因此,建议稳定版本的Firefox用户及时更新浏览器,避免黑客入侵。(黑客周刊)