VU#595768:Securly Chrome 扩展程序存在多个弱加密和访问控制漏洞
Securly Chrome 扩展程序版本 3.0.7 存在若干关键安全漏洞。这些漏洞包括对敏感过滤规则使用不安全的 HTTP 协议进行数据传输;采用弱加密,表现为硬编码的明文 AES 密码短语以及过时的密钥派生方法;访问控制不当,导致未经身份验证即可访问受保护资源及敏感配置数据。攻击者可利用这些弱点窃取过滤信息,亦可通过篡改下载的配置文件引发拒绝服务(DoS)。此外,攻击者可能修改针对学生用户的内容拦截规则。其中一个漏洞涉及动态注册的内容脚本,该脚本可绕过安全审查;若 Securly 服务器无法访问,此脚本可无限期隐藏所有页面内容。该扩展程序还对关键 URL 匹配使用已弃用的 SHA-1 哈希算法。尽管尚未联系 Securly 获取补丁,管理员可通过限制扩展程序在不信任网络上的使用,并采用由学校管理的虚拟专用网络(VPN)来缓解风险。