Canthink网络安全研究实验室研究团队近日发现,现在运用的所有主流浏览器中存在的新的安全漏洞,包括Google Chrome,Apple Safari和Microsoft Edge。但是,与谷歌和苹果公司相比,微软已经修补了浏览器的缺陷,微软表示不会提供修复,因为这是“按规划”而不需要更新的。 安全漏洞在于浏览器处理的方式:允许XSS攻击,最终将在线公开用户信息。信息泄露漏洞不如RCE漏洞那么重要,但安全人员警告说,如果攻击者设法绕过服务器设置的内容安全策略,没有修补的程序也将被盗窃。 安全研究人员解释称,可能允许攻击者渗透机密数据甚至接管用户帐户的XSS攻击被认为是一个严重的问题。内容安全策略是专门针对XSS攻击防范而规划的,并允许服务器将受信任的受信任资源列入白名单。攻击者可以绕过CPS并窃取他们原本不允许访问的信息。如果微软改变主意并为此漏洞发布补丁,还有待观察,但与此同时,无论您运用的是什么浏览器,都应尽快安装最新版本,以确保您免遭网络攻击。 |