Google Chrome浏览器存在安全漏洞，攻击者可利用该漏洞绕过网站上的内容安全策略（CSP），进而窃取用户数据并执行恶意代码。

网络安全研究人员表示，该漏洞（CVE-2020-6519）存在于Windows、Mac和Android的Chrome、Opera和Edge浏览器中，可能影响数十亿网络用户。Chrome 73版本（2019年3月）到83版本均会受到影响，84版本已在7月发布并修复了该漏洞。

CSP是一种网络标准，旨在防御特定类型的网络攻击，包括跨站脚本（XSS）和数据注入攻击。Web管理员可以通过CSP管理浏览器允许加载的域，与CSP兼容的浏览器仅执行从这些域接收的源文件中加载的脚本。

CSP是网站管理者实施数据安全策略的主要方法，以防御攻击者在其网站上进行的恶意活动。因此，当攻击者可以绕过该策略时，用户的隐私数据将面临风险。

研究人员指出，大多数网站都使用CSP，包括ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo和Zoom等互联网巨头，但GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahoo登陆页面和Yandex等没有受到影响。

为了利用该漏洞，首先攻击者需要获取Web服务器访问权限（通过暴力破解或其他方法），以便修改JavaScript代码。然后，攻击者可以在JavaScript中添加frame-src或child-src指令，加载并执行注入的代码，绕过CSP执行，进而绕过网站的安全策略。

经过验证，该漏洞被视为中危漏洞。但是，由于该漏洞影响到CSP，因此需要特别重视。

研究人员表示，由于安全意识的提升，当设备出现故障时，造成的损失要更加严重。类似的，网站开发者允许第三方脚本向付款页面添加功能，例如，都知道CSP会限制访问敏感信息，因此，当CSP被绕过时，依赖于CSP站点的风险可能比没有CSP时要高。

在修复之前，该漏洞已在Chrome浏览器中存在一年多，因此，该漏洞的实际影响尚不可知。未来几个月，可能会发现利用该漏洞的数据泄露情况，可能会导致个人身份信息（PII）泄露。

用户应将浏览器更新至最新版本，以免遭受攻击。

参考文献：https://threatpost.com/google-chrome-bug-data-theft/158217/