打开网易新闻 查看精彩图片

▲Chrome浏览器惊传资安漏洞。(图/路透)

王致凯/综合报道

国外资安机构PerimeterX发布最新报告称,基于Chromium核心浏览器存在一个可以被绕过的内容安全策略(CSP)漏洞,导致数十亿用户暴露在资安风险中,容易被攻击者窃取数据或执行恶意代码,呼吁用户尽快更新至Chrome 84 (含以上)版本。

PerimeterX指出,该项名为CVE-2020-6519的漏洞不只在Windows、Mac 和 Android 版的Chrome浏览器可以找到,也存在于Opera和新版Edge浏览器中。资安专家呼吁,如果仍在使用Chrome 83或更早以前版本,应尽快更新至已经修补漏洞的Chrome 84版本。

内容安全策略是一项Web标准,目的是阻止某些类型的攻击,如跨站脚本(XSS)或数据注入(data-injection)等。PerimeterX说,CSP是网页所有者用于执行数据安全策略、防止在网站上执行恶意代码的主要方式,当其绕过浏览器时,个人用户的数据就面临风险。

据悉,该项漏洞已经存在于Chrome浏览器至少一年以上,直到最近才获得彻底修复,但其造成的影响目前仍不为人知。