Google，Apple和Microsoft的动力学时，浏览器有安全错误

• Chrome和Firefox有严重的安全缺陷，无法修复它
• 总结PWN2OWN 2019：Safari，VirtualBox在第一天被“刺穿”，第二天的Firefox，Edge，Tesla Model 3“关闭了窗户”

虽然Apple和Google紧急试图修补Safari（CVE-2017-2419）和Chrome（CVE-2017-5033）浏览器中的安全孔，但Microsoft并未注意到。这种安全漏洞是由Safari，Chrome和Edge浏览器的Cisco Talos研究人员发现的，但是Microsoft认为这种安全性是由于设计所致。

根据Cisco Talos的研究人员NicolaiGrødum的说法，此漏洞被归类为脱离CSP（内容安全策略）的退出 - 该机制允许Web开发人员配置HTTP标头并指示用户访问源浏览器（JavaScript，CSS）。内容安全策略（CSP）是浏览器在浏览器中实现SOP-相同原始策略的工具之一。

Grødum说，他发现了绕过CSP，在远程站点上下载恶意JavaScript代码的攻击者如何进行入侵操作，例如从用户的cookie中收集信息或在页面结构中录制语法按键。

利用漏洞非常简单

在浏览器中利用这种漏洞非常简单 - 至少对于那些具有Web开发背景的人。攻击者只需要通过'_空白的'方法并使用document.write在下载实际内容之前，可以在此页面内写恶意代码。恶意内容（也称为初始XSS攻击代码）仍然存在，并帮助攻击者克服CSP保护。

Grødum于去年11月发现了脆弱性。这个问题是CVSS的排名是4.3 / 10。

Edge浏览器的用户很容易受到此漏洞的影响，而Google Chrome用户57.0.2987.98，iOS 10.3和Safari 10.1或更新。 Firefox很幸运地不受影响。

你应该阅读

• 在许多Web浏览器中发现的漏洞，可以通过已安装的应用程序跟踪用户
• 与Nikto一起在每个站点上找到安全孔
• 保护您的网络浏览器
• UC浏览器上的不安全“功能”使黑客可以远程控制Android手机
• IBM开发了一种新技术来修补安全漏洞
• 微软引入了一个工具来修复IE 9和10中的安全孔
• 5在管理安全漏洞中的常见错误
• HP在Teradici PCOIP协议中发布了一系列关键漏洞

可能有兴趣