時間:2017-09-08 來源:互聯網 瀏覽量:
Canthink網絡安全研究實驗室研究團隊近期發現,現在使用的所有主流瀏覽器中存在的新的安全漏洞,包括Google Chrome,Apple Safari和Microsoft Edge。但是,與穀歌和蘋果公司相比,微軟已經修補了瀏覽器的缺陷,微軟表示不會提供修複,因為這是“按設計”而不需要更新的。
具體來說,Canthink網絡安全研究團隊表示,此漏洞(CVE-2017-5033和CVE-2017-2419中詳細介紹)存在於舊版Google Chrome和Apple Safari中,為保證安全性,用戶需要更新到Chrome 57.0.2987.98或Safari 10.1和iOS 10.3。在Microsoft Edge的情況下,40.15063版是發現錯誤的版本,沒有補丁,較新的版本也是脆弱的。
安全漏洞在於瀏覽器處理的方式:允許XSS攻擊,最終將在線公開用戶信息。信息泄露漏洞不如RCE漏洞那麼重要,但安全人員警告說,如果攻擊者設法繞過服務器設置的內容安全策略,沒有修補的程序也將被盜竊。
安全研究人員解釋稱,可能允許攻擊者滲透機密數據甚至接管用戶帳戶的XSS攻擊被認為是一個嚴重的問題。內容安全策略是專門針對XSS攻擊防範而設計的,並允許服務器將受信任的受信任資源列入白名單。攻擊者可以繞過CPS並竊取他們原本不允許訪問的信息。如果微軟改變主意並為此漏洞發布補丁,還有待觀察,但與此同時,無論您使用的是什麼瀏覽器,都應盡快安裝最新版本,以確保您免遭網絡攻擊。
