研究人员找到浏览器漏洞，但微软拒绝修补Microsoft Edge

思科（Cisco）旗下的Talos网络威胁情报部门在本周揭露多个可能外泄使用者机密资讯的浏览器漏洞，并指出在受到波及的Microsoft Edge、Google Chrome与苹果Safari浏览器中，只有微软还没修补。

Talos研究人员Nicolai Grødum说明，“同源政策”（same-origin policy）为网络应用程序的基本安全机制之一，它要求网络程式码只能存取同样来源的资料，例如在浏览器中所执行的、源自good.example.com的script只能存取来自同样服务器的资料，而不允许该script存取其他服务器的资料。

然而，网络应用程序存在许多安全漏洞，可允许骇客绕过同源政策，其中一项特别成功的攻击行动为跨站指令码（Cross Site Scripting，XSS）攻击，骇客可自远端注入恶意程式至浏览器中执行的程式，并伪装成同源程式来存取在地资源，可造成机密资讯外泄甚至是应用程序劫持。

为了防范XSS攻击，各家浏览器几乎都支援“内容安全政策”（Content Security Policy，CSP），它是个服务器白名单，列出了可供客户端网络应用程序码使用的合法资源。但Talos却找到了绕过CSP的途径，让XSS攻击的成功机会大增。

Grødum指出，包括Microsoft Edge、Chrome与Safari的CSP都含有相关漏洞，允许骇客绕过CSP所定义的政策而造成资料外泄。由于每个浏览器导入CSP的方式不同，使得骇客也必须针对不同的浏览器撰写攻击程式。

尽管资料外泄漏洞不如远端程式攻击漏洞来得严重，但Grødum认为，XSS攻击可能让骇客取得使用者的机密资讯，进而掌控使用者的账号，应被视为重大威胁。

迄今Chrome与Safari都已修补相关漏洞，而微软则说这是特别设计的，并非安全漏洞，因而拒绝修补。Grødum则在部落格中详述了如何绕过浏览器的CSP保护。