漏洞标题
N/A
漏洞描述信息
在Blink中Content Security Policy(CSP)实现的WebKit/Source/core/frame/csp/CSPSource.cpp中,CSPSource::schemeMatches函数,在Google Chrome之前52.0.2743.82版本的Blink中使用时,不会将HTTP:80策略应用于HTTPS:443 URLs,也不会将WSS:80策略应用于WSS:443 URLs,这使得远程攻击者更容易通过阅读CSP报告确定特定HSTS网站是否已被访问。注意:此漏洞与CVE-2016-1617解决方案后 specification 更改有关。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The CSPSource::schemeMatches function in WebKit/Source/core/frame/csp/CSPSource.cpp in the Content Security Policy (CSP) implementation in Blink, as used in Google Chrome before 52.0.2743.82, does not apply http :80 policies to https :443 URLs and does not apply ws :80 policies to wss :443 URLs, which makes it easier for remote attackers to determine whether a specific HSTS web site has been visited by reading a CSP report. NOTE: this vulnerability is associated with a specification change after CVE-2016-1617 resolution.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Google Chrome Blink 安全漏洞
漏洞描述信息
Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Blink是美国谷歌(Google)公司和挪威欧朋(Opera Software)公司共同开发的一套浏览器排版引擎(渲染引擎)。 Google Chrome 52.0.2743.82之前的版本中使用的Blink中的CSP实现过程中的WebKit/Source/core/frame/csp/CSPSource.cpp文件中的‘CSPSource::schemeMatches’函数存在安全漏洞。远程攻击者可通过读取CSP报告利用该
CVSS信息
N/A
漏洞类别
信息泄露