谷歌、苹果、微软等多款主流浏览器被曝存在严重安全漏洞

Canthink网络安全研究实验室研究团队近期发现，现在使用的所有主流浏览器中存在的新的安全漏洞，包括Google Chrome，Apple Safari和Microsoft Edge。但是，与谷歌和苹果公司相比，微软已经修补了浏览器的缺陷，微软表示不会提供修复，因为这是“按设计”而不需要更新的。

具体来说，Canthink网络安全研究团队表示，此漏洞（CVE-2017-5033和CVE-2017-2419中详细介绍）存在于旧版Google Chrome和Apple Safari中，为保证安全性，用户需要更新到Chrome 57.0.2987.98或Safari 10.1和iOS 10.3。在Microsoft Edge的情况下，40.15063版是发现错误的版本，没有补丁，较新的版本也是脆弱的。

安全漏洞在于浏览器处理的方式：允许XSS攻击，最终将在线公开用户信息。信息泄露漏洞不如RCE漏洞那么重要，但安全人员警告说，如果攻击者设法绕过服务器设置的内容安全策略，没有修补的程序也将被盗窃。

安全研究人员解释称，可能允许攻击者渗透机密数据甚至接管用户帐户的XSS攻击被认为是一个严重的问题。内容安全策略是专门针对XSS攻击防范而设计的，并允许服务器将受信任的受信任资源列入白名单。攻击者可以绕过CPS并窃取他们原本不允许访问的信息。如果微软改变主意并为此漏洞发布补丁，还有待观察，但与此同时，无论您使用的是什么浏览器，都应尽快安装最新版本，以确保您免遭网络攻击。