Chrome 曝出最新高危漏洞，需盡快更新修復

5 月下旬，有安全研究人員發現谷歌 Chrome 中存在嚴重漏洞，影響所有主要操作系統（包括 Windows，Mac 和 Linux）的網頁瀏覽軟件。 在沒有透露有關該漏洞任何技術細節的情況下，Chrome安全團隊在本周三（6月6日）發布的一篇博客文章中指出，該漏洞被追蹤為CVE-2018-6148，是由于瀏覽器錯誤處理CSP響應頭導致的。 CSP，英文全稱Content Security Policy，指的是內容安全策略。 CSP官網是這樣介紹它的：“The new Content-Security-Policy HTTP response header helps you reduce XSS risks on modern browsers by declaring what dynamic resources are allowed to load via a HTTP Header.” 大體意思說的是，通過在HTTP的響應頭中設定CSP規則，可以規定當前網頁能夠加載的資源的白名單，從而減少網頁遭受跨站腳本（XSS）攻擊的風險。因此，CSP可以說是一個在現代瀏覽器加載資源白名單的安全機制，只有響應頭中白名單里列出的資源才能夠被加載和執行，從而給網頁添加額外的安全層。 由于谷歌Chrome瀏覽器對CSP響應頭的錯誤處理，導致攻擊者能夠在任何目標網頁上執行跨站點腳本、點擊劫持和其他類型的代碼注入攻擊。 Chrome 安全團隊接到漏洞報告后，將其列為 CSP 頭相關的漏洞，并表示目前將保留漏洞細節，在大部分用戶更新修復之后才會放出。目前，針對Windows，Mac 和Linux 操作系統的最新穩定版 Chrome 67.0.3396.79 已將漏洞補丁推送給用戶，提醒用戶盡快更新。

本文地址：http://www.mishkantour.com/safety/26836.html