原标题:研究人员找到浏览器漏洞,但微软拒绝修补Microsoft Edge
Microsoft△Edge浏览器。示意图,与新闻事件无关。
思科(Cisco)旗下的Talos网络威胁情报部门在本周揭露多个可能外泄使用者机密资讯的浏览器漏洞,并指出在受到波及的Microsoft△Edge、Google△Chrome与苹果Safari浏览器中,只有微软还没修补。
Talos研究人员Nicolai△Gr?dum说明,“同源政策”(same-origin△policy)为网络应用程序的基本安全机制之一,它要求网络程式码只能存取同样来源的资料,例如在浏览器中所执行的、源自good.example.com的script只能存取来自同样伺服器的资料,而不允许该script存取其他伺服器的资料。
然而,网络应用程序存在许多安全漏洞,可允许骇客绕过同源政策,其中一项特别成功的攻击行动为跨站指令码(Cross△Site△Scripting,XSS)攻击,骇客可自远端注入恶意程式至浏览器中执行的程式,并伪装成同源程式来存取在地资源,可造成机密资讯外泄甚至是应用程序劫持。
为了防范XSS攻击,各家浏览器几乎都支援“内容安全政策”(Content△Security△Policy,CSP),它是个伺服器白名单,列出了可供客户端网络应用程序码使用的合法资源。但Talos却找到了绕过CSP的途径,让XSS攻击的成功机会大增。
Gr?dum指出,包括Microsoft△Edge、Chrome与Safari的CSP都含有相关漏洞,允许骇客绕过CSP所定义的政策而造成资料外泄。由于每个浏览器导入CSP的方式不同,使得骇客也必须针对不同的浏览器撰写攻击程式。
尽管资料外泄漏洞不如远端程式攻击漏洞来得严重,但Gr?dum认为,XSS攻击可能让骇客取得使用者的机密资讯,进而掌控使用者的帐号,应被视为重大威胁。
迄今Chrome与Safari都已修补相关漏洞,而微软则说这是特别设计的,并非安全漏洞,因而拒绝修补。Gr?dum则在博客中详述了如何绕过浏览器的CSP保护。
相关:
打破AI框架围篱,微软与脸书联手建立可互通的开放神经网络交换格式
图片来源: GitHub 微软与脸书(Facebook)周四(9/7)共同发表了“开放神经网络交换”(Open△Neural△Network△Exchange,ONNX)格式,这是一个开源专案,打算建立一个标准让不同框架上的深度学习模型能够移转。目前
微软Azure App Service Linux上线,扩充支援Java、Python等开发框架
图片来源: 微软 微软于本周三(9/6)宣布,Azure△App△Service云端服务Linux版本正式上市(GA),让开发者能够更专注于软件应用的开发,而非基础建设,以加速开发者建立、部署和扩充应用程序。另外,此版本还包含了
示意图,与新闻事件无关。 图片来源: Google Google于本周二(9/5)释出Android平台的安全更新,总计修补了81个漏洞,其中有16个属于重大风险等级的远端程式攻击(Remote△Code△Execution,RCE)漏洞。此外,一般
研究:Siri、Alexa与Cortana有设计漏洞,可以人耳听不见的超高频率遥控
示意图,与新闻事件无关。 图片来源: Amazon 中国浙江大学的6名研究人员近日发表了一篇研究论文,指出市场上的各种数位语音助理皆含有设计漏洞,骇客只要将语音命令转成人耳听不见的超高频率,以悄悄地要求装置执行
图片来源: Apache△Struts Apache软件基金会(Apache△Software△Foundation)在本周二(9/5)释出了Struts△2.5.13,并修补当中一个自2008年就存在的重大安全漏洞,可能允许骇客自远端执行任意程式,呼吁用户尽速更