| 首页 > 安全公告 > 公告详情

360安全公告 QTA-2016-0018

360极速浏览器CORS(跨域资源共享,Cross-Origin Resource Sharing)检测绕过漏洞

发布日期:2016-12-07 16:03:09

漏洞编号 漏洞等级
QTA-2016-0018 严重

全部收起

漏洞摘要与描述

360极速浏览器CORS(跨域资源共享,Cross-Origin Resource Sharing)检测绕过漏洞,该问题造成的原因主要来自于chromium 源生代码存在的漏洞,使用该版本内核的浏览器产品均受到该漏洞影响。

漏洞反馈

截至本公告发布前,360安全应急响应中心未监测到任何用户受到针对此漏洞的攻击。

漏洞类型

跨应用读取类型

漏洞详情

危害程度


漏洞详情描述

环境因素挖掘难度利用难度影响范围认证条件业务分类攻击环境受影响产品漏洞性质
中间人劫持多次认证边缘业务云主机Web公开
同网段远程单次认证一般业务隔离网移动Nday
远程攻击无需认证核心业务IDC网PC0day


受影响的产品和版本

360极速浏览器8和360安全浏览器se9

解决方案

升级到最新版本                  

修复过程

2016-09-20 12:24:18 收到漏洞报告 2016-09-20 15:25:57 漏洞确认 2016-09-24 12:04:50 漏洞修复 2016-12-07 12:49:30 发布漏洞公告

修订历史

v1.0

引用

【1】:Security: Bypass CORS check by reopening XHRs https://bugs.chromium.org/p/chromium/issues/detail?id=612132

【2】:XHR 和依赖注入 - XHRs Dependency Injection http://wiki.jikexueyuan.com/project/angularjs-tutorial/xhrs-dependency-injection.html

鸣谢

感谢国家信息安全漏洞库(CNNVD)以及匿名白帽子对360产品安全作出的努力,特此发布安全公告,为此漏洞分配编号为 QTA-2016-0018。

奖励

无。

免责声明

360公司对360SRC在线服务以及所有包含在360SRC在线服务的所有材料、信息、产品及服务的按“原样”提供,无任何担保责任。在法律许可的最大范围内,360SRC在线及其许可方明确声称其不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。
360公司对有关360SRC在线服务的安全性、可靠性、及时性和性能不做任何担保。360公司对通过360SRC在线服务而获得的任何信息或建议不做任何担保。

联系我们

360安全应急响应中心(以下简称360SRC)是360公司全线产品漏洞响应平台,收集范围包括但不限于360总公司、分公司、投资公司及合作伙伴。我们遵守负责任的安全漏洞披露原则,为安全研究人员提供通用安全漏洞CVE漏洞编号申请。
360SRC鼓励研究人员优先挖掘以下产品列表的安全漏洞,获取360公司产品列表(http://security.360.cn/Product/product
360SRC给予安全研究人员发布安全公告预警,(http://security.360.cn/News/affiche
360SRC给予安全研究人员提供致谢排行榜,(http://security.360.cn/Rank/rankList
360产品安全问题,可以任意选2种方案进行反馈给360SRC, 第一方案,360SRC官方漏洞提交通道,(http://security.360.cn/Report/index) 第二方案,可以通过360SRC官方邮箱进行反馈(security@360.cn