COM PLUS SECURITY
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
COM PLUS SECURITYStaráme se o bezpečnost Vašich dat
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
Chyba Google Chrome by mohla hackerům umožnit obejít ochranu CSP, aktualizujte si webové prohlížeče
  • Nezařazené

Aktualizujte si webový prohlížeč Chrome, Opera nebo Edge na nejnovější dostupnou verzi co nejrychleji. Vědci v oblasti kybernetické bezpečnosti zveřejnili podrobnosti o „zero-day flaw“ ve webových prohlížečích založených na chromu pro Windows, Mac a Android, která mohla útočníkům umožnit zcela obejít pravidla Content Security Policy (CSP) od Chrome 73.

Sledováno jako CVE-2020-6519 (hodnoceno 6,5 na stupnici CVSS), problém vychází z obcházení CSP, které má za následek svévolné spuštění škodlivého kódu na cílových webech.

Podle vědců byly některé z nejpopulárnějších webových stránek, včetně Facebooku, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger a Quora, náchylné k obcházení CSP.

Je zajímavé, že se stejná chyba byla odhalena před více než rokem, jen měsíc po vydání prohlížeče Chrome 73 v březnu 2019, ale nebyla nikdy vyřešena. Poté, co byla zjištění zveřejněna Googlu, vydal tým Chrome opravu chyby zabezpečení v aktualizaci Chrome 84 (verze 84.0.4147.89), která začala fungovat 14. července minulého měsíce.

CSP je další vrstva zabezpečení, která pomáhá detekovat a zmírňovat určité typy útoků, včetně Cross-Site Scripting (XSS) a útoků na vkládání dat. S pravidly CSP může web pověřit prohlížeč oběti, aby provedl určité kontroly na straně klienta s cílem blokovat konkrétní skripty, které jsou navrženy tak, aby zneužily důvěryhodnost prohlížeče k obsahu přijatému ze serveru.

Vzhledem k tomu, že CSP je primární metodou, kterou majitelé webových stránek používají k prosazování zásad zabezpečení dat a prevenci provádění škodlivých skriptů, obejití CSP může účinně ohrozit uživatelská data. Toho je dosaženo zadáním domén, které by měl prohlížeč považovat za platné zdroje spustitelných skriptů, takže prohlížeč kompatibilní s CSP spouští pouze skripty načtené ve zdrojových souborech přijatých z těchto povolených domén a ignoruje všechny ostatní.

Chyba, která byla nyní odhalena, obchází nakonfigurovaný CSP pro web pouhým předáním škodlivého kódu JavaScriptu ve vlastnosti „src“ prvku iframe HTML .

Webové stránky jako Twitter, Github, LinkedIn, Google Play Store, přihlašovací stránka Yahoo, PayPal a Yandex nebyly shledány zranitelnými, protože zásady CSP byly implementovány jiným způsobem.

„Mít chybu v mechanismu prosazování CSP v prohlížeči Chrome přímo neznamená, že jsou stránky ohroženy, protože útočníci také musí zvládnout získání škodlivého skriptu z webu (což je důvod, proč byla chyba zabezpečení klasifikována jako střední závažnost).

Doporučuje se aktualizovat své prohlížeče na nejnovější verzi, aby se uživatelé chránili před spuštěním škodlivého kódu. Vlastníkům webových stránek se pro jejich zabezpečení doporučuje používat nonce a hash schopnosti CSP.

Kromě toho nejnovější aktualizace pro Chrome 84.0.4147.125 pro systémy Windows, Mac a Linux opravuje také dalších 15 chyb zabezpečení, z nichž 12 je hodnoceno jako „vysoké“ a dvě „s nízkou“ závažností.

Comments are closed.

Nejnovější příspěvky
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
admin 12. 8. 2020
No Comment
Chyba TeamViewer mohla umožnit hackerům ukrást heslo systému na dálku
NÚKIB: Za kybernetickým útokem na ministerstvo zahraničí stojí ruská vojenská rozvědka
COM PLUS CZ a.s.

Outsourcing ICT, kybernetická bezpečnost, penetrační testy, analýza rizik, školení kybernetické bezpečnosti, správa IT, dohledové systémy, telekomunikační řešení, helpdesk, vývoj software, servis.

Naše služby
  • Kurzy a školení
  • Bezpečnostní dohled
  • Analýza rizik
  • Penetrační testy
Aktuality
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
Kontaktní údaje

COM PLUS CZ a.s.

Nad Krocínkou 317/48
Praha 9, 190 00

IČ: 25772104
DIČ: CZ25772104

bezpecneict@complus.cz

+420 225 103 222

COM PLUS CZ a.s. 2020
Tyto webové stránky využívají cookies k analýze návštěvnosti. Více informací zde. SOUHLASÍM
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vždy povoleno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
ULOŽIT A PŘIJMOUT