近日Firefox用戶被敦促使用Mozilla的最新更新，來(lái)堵住一個(gè)可能允許攻擊者控制受影響系統(tǒng)的嚴(yán)重漏洞。在此之前，微軟Edge、谷歌Chrome和蘋果Safari瀏覽器都進(jìn)行了類似的更新，所有這些瀏覽器都受到WebP代碼庫(kù)中一個(gè)漏洞的嚴(yán)重影響。

雖然WebP漏洞也影響其他軟件，但瀏覽器無(wú)疑是終端用戶設(shè)備上一種最普遍、最廣泛使用的應(yīng)用程序，在受感染的瀏覽器中站穩(wěn)腳跟，威脅分子就可以訪問(wèn)敏感信息，并獲得潛入目標(biāo)環(huán)境的潛在途徑。

本文深入探討了瀏覽器安全，介紹漏洞和漏洞利用工具、零日漏洞和N日漏洞之間的區(qū)別，并重點(diǎn)介紹2023年的幾大瀏覽器漏洞，討論了威脅分子如何通過(guò)瀏覽器軟件實(shí)施各種攻擊，末尾還附有幫助企業(yè)加強(qiáng)瀏覽器安全性的指南。

關(guān)鍵概念|漏洞與漏洞利用工具的區(qū)別

漏洞本質(zhì)上是軟件、硬件或系統(tǒng)中可能被利用的弱點(diǎn)或缺陷，這些可能是因編碼錯(cuò)誤、配置錯(cuò)誤或設(shè)計(jì)缺陷而造成的，它們無(wú)意中為安全威脅敞開了大門。

漏洞可能存在于技術(shù)的方方面面，包括操作系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)協(xié)議，甚至是人類行為，不是每個(gè)漏洞都能被利用，也不是每個(gè)漏洞都會(huì)導(dǎo)致代碼執(zhí)行或數(shù)據(jù)丟失。

惡意分子將漏洞轉(zhuǎn)化為漏洞利用工具的可能性和難易程度，以及該漏洞代碼工具可能被用來(lái)執(zhí)行的操作，是理解漏洞嚴(yán)重性等級(jí)這個(gè)概念的一種非正規(guī)方式?？梢栽?a target="_blank" >這里找到對(duì)CVSS和漏洞度量指標(biāo)的更正規(guī)的理解。

利用是主動(dòng)利用漏洞實(shí)施惡意行為的行動(dòng)。它包括利用已識(shí)別的弱點(diǎn)來(lái)獲得未經(jīng)授權(quán)的訪問(wèn)、破壞數(shù)據(jù)、擾亂服務(wù)或執(zhí)行其他有害活動(dòng)，利用表現(xiàn)為多種形式，比如代碼執(zhí)行、特權(quán)升級(jí)、數(shù)據(jù)盜竊或者遠(yuǎn)程控制受感染系統(tǒng)。

漏洞和利用是Web瀏覽器安全中兩個(gè)不同但又相互關(guān)聯(lián)的概念。雖然今天的Web瀏覽器代碼中可能存在許多漏洞，但并非所有漏洞都可以被利用或被威脅分子積極利用。

未修補(bǔ)漏洞|了解零日和N日漏洞

當(dāng)攻擊者發(fā)現(xiàn)零日漏洞時(shí)，他們有機(jī)會(huì)在開發(fā)者意識(shí)到并發(fā)布安全補(bǔ)丁之前利用它。“零日”這個(gè)名字源于一個(gè)令人不安的事實(shí)，即由于開發(fā)者沒(méi)有意識(shí)到漏洞，他們沒(méi)有時(shí)間（零日）來(lái)修復(fù)，在一個(gè)未打補(bǔ)丁的漏洞被公之于眾后，從那時(shí)起，它常被稱為N日漏洞，其中N表示從發(fā)現(xiàn)到發(fā)布補(bǔ)丁的天數(shù)。

零日漏洞和N日漏洞都是機(jī)會(huì)窗口，讓網(wǎng)絡(luò)犯罪分子可以趁機(jī)破壞用戶數(shù)據(jù)、傳播惡意軟件或未經(jīng)授權(quán)訪問(wèn)系統(tǒng)，利用這些漏洞可能會(huì)產(chǎn)生深遠(yuǎn)的后果，影響各種平臺(tái)上的大量用戶。Web瀏覽器中的零日漏洞是網(wǎng)絡(luò)安全最重要、最具挑戰(zhàn)性的方面之一。

2023年主要瀏覽器的被利用漏洞

WebP漏洞不是最近影響互聯(lián)網(wǎng)瀏覽器的唯一CVE。谷歌在2023年為Chrome增添的補(bǔ)丁包括針對(duì)以下漏洞：

• CVE-2023-2033（CVSS分?jǐn)?shù):8.8）—V8中的類型混淆
• CVE-2023-2136（CVSS分?jǐn)?shù):9.6）—Skia圖形庫(kù)中的整數(shù)溢出
• CVE-2023-3079（CVSS分?jǐn)?shù):8.8）—V8中的類型混淆
• CVE-2023-4863（CVSS分?jǐn)?shù):8.8）—WebP中的堆緩沖區(qū)溢出
• CVE-2023-5217（CVSS分?jǐn)?shù):8.8）—libvpx中vp8編碼的堆緩沖區(qū)溢出

與此同時(shí)，蘋果今年也針對(duì)WebKit（為Safari及其他Web應(yīng)用程序提供支持的瀏覽器引擎）中相當(dāng)數(shù)量的零日漏洞發(fā)布了補(bǔ)丁。

• 今年2月，針對(duì)WebKit零日漏洞CVE-2023-23529發(fā)布了補(bǔ)丁，該漏洞被用于攻擊，以便在iPhone、iPad和Mac設(shè)備上執(zhí)行代碼。
• 4月，WebKit釋放后使用漏洞CVE-2023-28205被修補(bǔ)，以防止可能導(dǎo)致攻擊者在受損設(shè)備上執(zhí)行代碼的漏洞。
• 5月，三個(gè)WebKit漏洞CVE-2023-32409、CVE-2023-28204和CVE-2023-32373在被報(bào)告用于攻擊后得到了修補(bǔ)。
• 7月，蘋果修補(bǔ)了WebKit中的CVE-2023-37450漏洞，該漏洞也被廣泛利用。

Mozilla在2023年也修補(bǔ)了多個(gè)漏洞，包括CVE-2023-34414、CVE-2023-34416、CVE-2023-4584/5以及Firefox 118中的嚴(yán)重漏洞CVE-2023-5217，最后一個(gè)漏洞與已知被大肆利用的libvpx（WebP）漏洞有關(guān)。

近日，微軟Edge同樣針對(duì)WebP漏洞打了補(bǔ)丁。此外，去年8月的補(bǔ)丁星期二還修復(fù)了兩個(gè)被大肆利用的零日漏洞：CVE-2023-36884和CVE-2023-38180，以及另外23個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（其中6個(gè)被評(píng)為是“嚴(yán)重漏洞”）。

與其他許多流行的瀏覽器：Vivaldi、Brave和Opera一樣，Edge是一款基于Chromium的瀏覽器，所以谷歌Chrome中的許多同樣漏洞也適用于這些瀏覽器和Edge。

擴(kuò)展和附件|擴(kuò)大攻擊面

雖然瀏覽器本身是一個(gè)容易下手的攻擊面，但瀏覽器擴(kuò)展、插件和附件也是惡意軟件（尤其是信息竊取器）的攻擊途徑。

比如說(shuō)，隨著ChatGPT日益普及，威脅分子緊跟AI潮流，制作虛假的ChatGPT瀏覽器擴(kuò)展，以劫持?jǐn)?shù)千個(gè)Facebook企業(yè)賬戶，并傳播一個(gè)名為“快速訪問(wèn)ChatGPT”的惡意信息竊取器。

一些下載網(wǎng)站中也發(fā)現(xiàn)了惡意擴(kuò)展。今年6月，谷歌從Chrome Web商店中刪除了32個(gè)惡意擴(kuò)展，這些擴(kuò)展的下載量總計(jì)超過(guò)7500萬(wàn)人次，這些鬼鬼祟祟的代碼不僅包含用戶期望的合法功能，還包含經(jīng)過(guò)混淆處理的惡意代碼。在一個(gè)例子中，PDF工具箱擴(kuò)展被用來(lái)將JavaScript注入到訪問(wèn)擴(kuò)展的每個(gè)網(wǎng)站用戶。雖然不清楚攻擊者的目的是什么，但這種技術(shù)可以用來(lái)劫持搜索結(jié)果，并注入惡意鏈接。

雖然谷歌已采取行動(dòng)從其Web商店中刪除了已識(shí)別的擴(kuò)展，但這種刪除并不會(huì)自動(dòng)從瀏覽器中停用或卸載這些擴(kuò)展。

瀏覽器小心|網(wǎng)站提供（虛假）Chrome更新

由于瀏覽器的使用如此廣泛和持續(xù)，它們也可能為社會(huì)工程活動(dòng)提供很好的誘餌。威脅分子使用惡意或有毒的網(wǎng)站來(lái)欺騙用戶，讓他們以為瀏覽器需要更新才能查看網(wǎng)站，然后向用戶提供惡意下載，佯裝這是所需的更新。

在最近此類活動(dòng)的一個(gè)例子中，安全研究人員發(fā)現(xiàn)了一種新的IDAT加載器，它被用來(lái)投放Stealc、Lumma和Amadey之類的信息竊取器。該活動(dòng)謊稱自己是Chrome瀏覽器更新，將受害者重定向到另一個(gè)自動(dòng)下載二進(jìn)制文件的URL，在打開虛假的更新二進(jìn)制文件“ChromeSetup.exe”之后，它進(jìn)而下載下一階段的載荷。

插件和跨站腳本（XSS）漏洞

跨站腳本（XSS）是一種常見(jiàn)的Web應(yīng)用程序安全漏洞，將惡意代碼注入到網(wǎng)站或Web應(yīng)用程序中，然后將其提供給訪問(wèn)該網(wǎng)站的其他用戶。XSS攻擊常通過(guò)Web瀏覽器來(lái)執(zhí)行。

CVE-2023-30777于2023年5月被發(fā)現(xiàn)，這是WordPress高級(jí)自定義字段PRO插件（版本6.1.5及更早）中的一個(gè)漏洞。該漏洞允許攻擊者注入惡意腳本或其他HTML載荷，有人訪問(wèn)包含這個(gè)高危插件的網(wǎng)站時(shí)，載荷就會(huì)執(zhí)行。

XSS漏洞還允許攻擊者將惡意腳本（常用JavaScript編寫）注入到Web應(yīng)用程序的輸入字段或用戶生成的其他內(nèi)容區(qū)域。這些腳本可以隱藏在看起來(lái)無(wú)害的數(shù)據(jù)中，比如評(píng)論、搜索查詢或表單提交。當(dāng)不知情的用戶訪問(wèn)受感染的網(wǎng)頁(yè)時(shí)，他們的Web瀏覽器會(huì)將注入的腳本作為頁(yè)面內(nèi)容的一部分來(lái)呈現(xiàn)。

惡意廣告|瀏覽器軟件的頑疾

由于瀏覽器的主要目的是訪問(wèn)網(wǎng)站并呈現(xiàn)內(nèi)容，因此它們不可避免地受到出現(xiàn)在這些網(wǎng)站上的惡意代碼的濫用，這類代碼的一種更常見(jiàn)的形式是惡意廣告，即傳播惡意軟件的在線廣告。

不法分子像普通企業(yè)一樣購(gòu)買廣告位，常使用自動(dòng)化系統(tǒng)下訂單。然后，他們創(chuàng)建嵌入惡意代碼的廣告，并通過(guò)合法的廣告網(wǎng)絡(luò)發(fā)布。

就連大受歡迎、備受信賴的網(wǎng)站也被發(fā)現(xiàn)無(wú)意中提供惡意廣告。惡意廣告可以用來(lái)投放無(wú)需用戶交互的下載件：只要瀏覽器存在某些漏洞，或者廣告中含有惡意鏈接，就能觸發(fā)下載件。

瀏覽器廣告軟件|不僅僅很煩人

廣告軟件是一種禍害，在未經(jīng)用戶同意甚至不知情的情況下在設(shè)備上顯示侵入性廣告。廣告軟件常常與Web瀏覽器擴(kuò)展或插件捆綁在一起安裝，一旦安裝上去，廣告軟件就會(huì)跟蹤用戶的在線行為，收集數(shù)據(jù)，然后顯示針對(duì)性的廣告為廣告商大作宣傳。此外，廣告軟件可能會(huì)將用戶的Web瀏覽器重定向到特定的網(wǎng)站或收集個(gè)人信息。

廣告軟件通過(guò)消耗寶貴的系統(tǒng)資源和帶寬來(lái)降低系統(tǒng)性能，最令人擔(dān)憂的是，廣告軟件可以充當(dāng)其他惡意軟件的渠道，包括間諜軟件和勒索軟件。廣告軟件開發(fā)者是最高明的開發(fā)群體之一，他們經(jīng)常使用類似惡意軟件的混淆手法和反分析技巧來(lái)避免用戶或安全軟件的檢測(cè)和刪除。

提高Web瀏覽器的安全性

雖然瀏覽器供應(yīng)商不斷提供補(bǔ)丁更新，并開發(fā)新的擴(kuò)展和附件來(lái)應(yīng)對(duì)產(chǎn)品中的風(fēng)險(xiǎn)，但組織本身也可以盡量減少威脅，并保護(hù)瀏覽會(huì)話。

1. 做好瀏覽器安全基本功

• 及時(shí)更新瀏覽器軟件是網(wǎng)絡(luò)安全的一個(gè)重要方面。大多數(shù)流行的瀏覽器會(huì)在重新啟動(dòng)時(shí)自動(dòng)更新和/或在更新可用時(shí)提供通知，為了確保更新是正規(guī)的，應(yīng)該始終通過(guò)瀏覽器內(nèi)置的更新機(jī)制進(jìn)行更新，應(yīng)該避免手動(dòng)下載，并且在任何情況下只從開發(fā)者的官方軟件更新網(wǎng)站獲取。
• 為了方便，Web瀏覽器通常提供保存密碼的選項(xiàng)。然而，這種便利是以犧牲安全性為代價(jià)的，如果將密碼存儲(chǔ)在瀏覽器中，一旦安全泄密，密碼就更容易被竊取。替代方案是，改而使用信譽(yù)良好的密碼管理器，密碼管理器不僅可以安全地存儲(chǔ)憑據(jù)，還可以為每個(gè)帳戶生成獨(dú)特的強(qiáng)密碼。
• 書簽也有助于提升瀏覽器安全。網(wǎng)絡(luò)犯罪分子可以在經(jīng)常訪問(wèn)的網(wǎng)站上設(shè)計(jì)騙局，誘騙用戶輸入憑據(jù)和敏感信息，為了降低這種風(fēng)險(xiǎn)，對(duì)經(jīng)常使用的網(wǎng)站使用書簽，這就降低了意外遇到假冒網(wǎng)站的可能性。

2. 編寫面向全組織的瀏覽器政策和培訓(xùn)材料

組織領(lǐng)導(dǎo)可以與IT團(tuán)隊(duì)合作，確?；镜臑g覽器安全做法實(shí)現(xiàn)自動(dòng)化。如果針對(duì)管理彈出窗口制定最佳實(shí)踐設(shè)置、打開自動(dòng)更新和只下載IT部門認(rèn)可的瀏覽器安全附件，所有級(jí)別的用戶都可以安全地瀏覽互聯(lián)網(wǎng)。

在用戶層面，要求持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)有助于建立更好的防御態(tài)勢(shì)，并保護(hù)企業(yè)的數(shù)字資產(chǎn)，用戶可以學(xué)會(huì)發(fā)現(xiàn)常見(jiàn)的威脅，比如網(wǎng)絡(luò)釣魚攻擊、惡意下載和欺騙，然后立即標(biāo)記問(wèn)題。網(wǎng)絡(luò)安全培訓(xùn)還強(qiáng)調(diào)了保持瀏覽器和相關(guān)軟件版本最新的重要性，以及在瀏覽器中存儲(chǔ)敏感數(shù)據(jù)的相關(guān)風(fēng)險(xiǎn)。

3. 購(gòu)置威脅檢測(cè)和響應(yīng)解決方案

擁有可靠的檢測(cè)和響應(yīng)能力是確保Web瀏覽器會(huì)話安全的關(guān)鍵。XDR通過(guò)整合來(lái)自各數(shù)據(jù)源（包括Web瀏覽器）的數(shù)據(jù)，提供了一種全面的安全方法。這意味著安全團(tuán)隊(duì)可以對(duì)所有系統(tǒng)保持警惕，實(shí)時(shí)發(fā)現(xiàn)潛在威脅和大肆利用的瀏覽器漏洞。

XDR解決方案還使用高級(jí)分析和機(jī)器學(xué)習(xí)（ML）算法來(lái)檢測(cè)異常或可疑的瀏覽器行為，幫助組織查明基于瀏覽器的漏洞，以免漏洞演變成全面攻擊。通過(guò)分析用戶活動(dòng)、網(wǎng)絡(luò)流量和端點(diǎn)數(shù)據(jù)，XDR系統(tǒng)可以識(shí)別不然可能被忽視的威脅或惡意活動(dòng)的跡象。

在基于瀏覽器的網(wǎng)絡(luò)攻擊環(huán)境中，XDR允許安全團(tuán)隊(duì)快速有效地響應(yīng)，當(dāng)檢測(cè)到攻擊時(shí)，它會(huì)隔離受影響的端點(diǎn)，阻止惡意域，并立即采取補(bǔ)救措施，以減小威脅對(duì)組織網(wǎng)絡(luò)造成的影響。

結(jié)論

鑒于Web瀏覽器在桌面和移動(dòng)設(shè)備上無(wú)處不在，所以它們?nèi)匀皇峭{分子竊取數(shù)字身份和個(gè)人信息或發(fā)動(dòng)全面網(wǎng)絡(luò)攻擊的一條頗有吸引力的途徑，感染W(wǎng)eb瀏覽器可以用來(lái)在操作系統(tǒng)上站穩(wěn)腳跟，劫持互聯(lián)網(wǎng)流量或入侵在線帳戶。

提高網(wǎng)絡(luò)瀏覽器的安全性是需要多管齊下的方法，需要做好網(wǎng)絡(luò)安全基本功，確保持續(xù)的用戶教育，并擁有合適的檢測(cè)和響應(yīng)技術(shù)。