穀歌、蘋果、微軟等多款主流瀏覽器被曝存在嚴重安全漏洞

Canthink網絡安全研究實驗室研究團隊近期發現，現在使用的所有主流瀏覽器中存在的新的安全漏洞，包括Google Chrome，Apple Safari和Microsoft Edge。但是，與穀歌和蘋果公司相比，微軟已經修補了瀏覽器的缺陷，微軟表示不會提供修複，因為這是“按設計”而不需要更新的。

具體來說，Canthink網絡安全研究團隊表示，此漏洞（CVE-2017-5033和CVE-2017-2419中詳細介紹）存在於舊版Google Chrome和Apple Safari中，為保證安全性，用戶需要更新到Chrome 57.0.2987.98或Safari 10.1和iOS 10.3。在Microsoft Edge的情況下，40.15063版是發現錯誤的版本，沒有補丁，較新的版本也是脆弱的。

安全漏洞在於瀏覽器處理的方式：允許XSS攻擊，最終將在線公開用戶信息。信息泄露漏洞不如RCE漏洞那麼重要，但安全人員警告說，如果攻擊者設法繞過服務器設置的內容安全策略，沒有修補的程序也將被盜竊。

安全研究人員解釋稱，可能允許攻擊者滲透機密數據甚至接管用戶帳戶的XSS攻擊被認為是一個嚴重的問題。內容安全策略是專門針對XSS攻擊防範而設計的，並允許服務器將受信任的受信任資源列入白名單。攻擊者可以繞過CPS並竊取他們原本不允許訪問的信息。如果微軟改變主意並為此漏洞發布補丁，還有待觀察，但與此同時，無論您使用的是什麼瀏覽器，都應盡快安裝最新版本，以確保您免遭網絡攻擊。