تم رصد ثغرة أمنية في متصفح غوغل كروم قد تسمح للمهاجمين بتجاوز سياسة أمان المحتوى (CSP) على مواقع الويب، من أجل سرقة البيانات من زوار الموقع وتنفيذ التعليمات البرمجية الخادعة والخبيثة.
تم العثور على الخطأ (CVE-2020-6519) في Chrome و Opera و Edge على أنظمة Windows و Mac و Android . ومن المحتمل أن يؤثر على مليارات مستخدمي الويب الذين يستخدمون إصدارات Chrome القديمة. وبذلك يجب على المستخدمين تنزيل تحديثات غوغل كروم الجديدة لتجنب الوقوع ضحية هذا الخطأ الأمني.
CSP هو معيار أمني يهدف إلى إحباط أنواع معينة من الهجمات على الويب، بما في ذلك هجمات البرمجة النصية عبر المواقع (XSS) وهجمات حقن البيانات. يسمح CSP لمسؤولي الويب بتحديد المجالات التي يجب على المستعرض اعتبارها مصادر صالحة للبرامج النصية القابلة للتنفيذ. سيقوم المستعرض المتوافق مع CSP بعد ذلك فقط بتنفيذ البرامج النصية المحملة في الملفات المصدر المستلمة من تلك المجالات.
تجدر الإشارة إلى أن معظم مواقع الويب تستخدم CSP، بما في ذلك عمالقة الإنترنت مثل ESPN و Facebook و Gmail و Instagram و TikTok و WhatsApp و Wells Fargo و Zoom. وفيما وقع غوغل كروم ضحية المشكلة، لم تتأثر بعض الأسماء البارزة الأخرى بما في ذلك GitHub و Google Play Store و LinkedIn و PayPal و Twitter وصفحة تسجيل الدخول إلى Yahoo و Yandex.
مشكلة متصفح غوغل كروم
لاستغلال الثغرة الأمنية، يحتاج المهاجم أولاً إلى الوصول إلى خادم الويب من خلال كلمات المرور، حتى يتمكن من تعديل كود JavaScript الذي يستخدمه. بعد ذلك، يمكن للمهاجم إضافة إطار src أو توجيه child-src في JavaScript للسماح للشفرة المحقونة بتحميلها وتنفيذها، متجاوزًا فرض CSP وبالتالي تجاوز سياسة الموقع.
تصنف هذه المشكلة على أنها متوسطة الخطورة أي 6.5 من 10 على مقياس CvSS. ومع ذلك، نظرًا لأنها تؤثر على تطبيق CSP، وعلى عدد كبير جدا من المستخدمين حول العالم، تم التعامل مع الأمر بشكل جدي جدا.
في سياق متصل، قد يسمح مطورو مواقع الويب لنصوص الطرف الثالث بإضافة وظائف إلى صفحة الدفع الخاصة بهم على سبيل المثال، مع العلم أن CSP سيقيد الوصول إلى المعلومات الحساسة. لذلك، عند تعطل CSP، من المحتمل أن تكون المخاطر على المواقع التي تعتمد عليها أعلى مما كان يمكن أن تكون عليه إذا لم يكن لدى الموقع CSP أصلا.
كانت الثغرة الأمنية موجودة في متصفحات Chrome لأكثر من عام قبل أن يتم إصلاحها، لذلك يجب الحذر من الآثار الكاملة للخطأ والتي لم تُعرف بعد. فمن المرجح أن يتعرف العالم على انتهاكات البيانات في الأشهر المقبلة والتي تم استغلالها من قبل المهاجمين عبر استخراج معلومات التعريف الشخصية (PII) لأغراض شائنة.