Chrome 浏览器高危漏洞安全通告
发布时间 2018-06-08漏洞编号
CVE-2018-6148
漏洞级别
高 CVSS分值:官方未评定
影响范围
该漏洞影响所有主流操作系统(包括Windows、Mac和Linux)上的 web 浏览软件。
漏洞描述
5月末,研究人员发现并报告了存在于 Chrome 浏览器中的一个高危漏洞,它影响所有主流操作系统上的 web 浏览软件。
Chrome 安全团队为留给多数用户时间修复浏览器,并未披露关于该漏洞的任何技术详情,只是将该漏洞描述为不正确的CSP头(Content Security Policy,内容安全策略)处理漏洞(CVE-2018-6148)。
CSP 头部能让网站管理员在既定网页上通过允许控制浏览器的加载资源来增加额外的安全层。
如果 web 浏览器错误处理了 CSP 头部,则可导致攻击者在目标网页上执行跨站点脚本攻击、点击劫持以及其它类型的代码注入攻击。
解决措施
Chrome 更新的稳定版本 67.0.3396.79 中已发布针对所有主流操作系统的补丁。
火狐也推出了包含修复方案的浏览器新版本 60.0.2。建议火狐浏览器稳定版用户尽快予以更新。
参考资料
京公网安备11010802024551号