原标题：Chrome欣赏器CSP漏洞导致数十亿用户面临数据被盗风险 来源：cnBeta.COM

Threat Post 报道称：基于 Chromium 内核的欣赏器被曝存在一个可被绕过的内容宁静计谋（简称 CSP）漏洞，导致数十亿用户易被攻击者窃取数据和执行恶意代码。PerimeterX 网络宁静研究职员 Gal Weizman 指出，该漏洞（CVE-2020-6519）可在 Windows、Mac 和 Android 版 Chrome 欣赏器，以及 Opera 和 Edge 中找到。

如果你仍在使用 2019 年 3 月公布的 Chrome 73、以及 2020 年 7 月前的 Chrome 83，还请尽快更新至已修复 CVE-2020-6519 漏洞的 Chrome 84 。

据悉，作为一项 Web 尺度，内容宁静计谋（CSP）旨在阻止某些类型的攻击，好比跨站脚本（XSS）和数据注入（data-injection）。

CSP 允许 Web 管理员指定欣赏器可执行脚本的有用源范围，以便兼容该尺度的欣赏器仅执行可信来源的脚本加载操作。

Weizman 在周一公布的研究陈诉中指出：“CSP 是网站全部者用于执行数据宁静计谋、以防止在其网站上执行恶意影子代码的主要要领，因而当其绕过欣赏器时，小我私人用户的数据就面临着风险”。

要利用此漏洞，攻击者必须先通过暴力破解或其它要领来访问 Web 服务器，以便可以或许修改其 JavaScript 代码。

然后攻击者可以在 JavaScript 中添加 frame-src 或 child-src 指令，以允许注入代码并强制加载执行，从而绕过站点 CSP 内容宁静计谋的防护。

只管该漏洞被 CvSS 认定为中等严重等级（6/10），但由于它会影响 CSP 的执行，因此具有了更遍及的意义。换言之，当装备不幸中招时，事故造成的损害将严重得多。

举个例子，若 CSP 措施恰当，网站仍可限定对此类敏感信息的访问。但以类似的方式，恶意 Web 开发者可利用第三方脚本，向付款页面加注一些分外的功效。

更糟糕的是，这个漏洞已在 Chrome 欣赏器中存在了一年以上，直到近日才得到彻底修复。因而 Weizman 警告称，该漏洞的全部影响尚不为人所知。

末了，为制止遭受此类攻击而导致小我私人身份信息（PII）等敏感数据泄露，还请各人立即将欣赏器升级到最新版本。