微软拒绝修复一个浏览器 bug

微软拒绝修复 Cisco Talos 安全研究人员在 Edge 浏览器中发现的一个安全 bug,称设计就是如此。苹果 和 Google 则修复了各自浏览器的类似 bug—— Safari (CVE-2017-2419) 和 Chrome (CVE-2017-5033)。Talos 的研究人员称,漏洞可被归类为内容安全策略绕过。内容安全策略是配置 HTTP 头和资源如何加载的一种机制,被用于执行同源策略。绕过内容安全策略可允许攻击者加载远程服务器上的恶意代码,执行侵入性操作如收集 cookies 或记录按键。

相关推荐