时间:2017-09-08 来源:互联网 浏览量:
Canthink网络安全研究实验室研究团队近期发现,现在使用的所有主流浏览器中存在的新的安全漏洞,包括Google Chrome,Apple Safari和Microsoft Edge。但是,与谷歌和苹果公司相比,微软已经修补了浏览器的缺陷,微软表示不会提供修复,因为这是“按设计”而不需要更新的。
具体来说,Canthink网络安全研究团队表示,此漏洞(CVE-2017-5033和CVE-2017-2419中详细介绍)存在于旧版Google Chrome和Apple Safari中,为保证安全性,用户需要更新到Chrome 57.0.2987.98或Safari 10.1和iOS 10.3。在Microsoft Edge的情况下,40.15063版是发现错误的版本,没有补丁,较新的版本也是脆弱的。
安全漏洞在于浏览器处理的方式:允许XSS攻击,最终将在线公开用户信息。信息泄露漏洞不如RCE漏洞那么重要,但安全人员警告说,如果攻击者设法绕过服务器设置的内容安全策略,没有修补的程序也将被盗窃。
安全研究人员解释称,可能允许攻击者渗透机密数据甚至接管用户帐户的XSS攻击被认为是一个严重的问题。内容安全策略是专门针对XSS攻击防范而设计的,并允许服务器将受信任的受信任资源列入白名单。攻击者可以绕过CPS并窃取他们原本不允许访问的信息。如果微软改变主意并为此漏洞发布补丁,还有待观察,但与此同时,无论您使用的是什么浏览器,都应尽快安装最新版本,以确保您免遭网络攻击。