漏洞标题
N/A
漏洞描述信息
在Blink中Content Security Policy(CSP)实现中的CSPSource::schemeMatches函数,在Google Chrome前48.0.2564.82版本中,并不适用于HTTP协议的HTTPSURL,也不适用于WSS协议的WSURL,这使得远程攻击者更容易通过阅读CSP报告来确定特定Hsts网站的是否已被访问。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The CSPSource::schemeMatches function in WebKit/Source/core/frame/csp/CSPSource.cpp in the Content Security Policy (CSP) implementation in Blink, as used in Google Chrome before 48.0.2564.82, does not apply http policies to https URLs and does not apply ws policies to wss URLs, which makes it easier for remote attackers to determine whether a specific HSTS web site has been visited by reading a CSP report.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Google Chrome Blink Content Security Policy实现安全漏洞
漏洞描述信息
Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Blink是美国谷歌(Google)公司和挪威欧朋(Opera Software)公司共同开发的一套浏览器排版引擎(渲染引擎)。 Google Chrome 48.0.2564.82之前版本中使用的Blink的Content Security Policy(CSP)实现过程中的WebKit/Source/core/frame/csp/CSPSource.cpp文件中的‘CSPSource::schemeMatches函数存在安
CVSS信息
N/A
漏洞类别
信息泄露