近日,一组国际网络安全研究团队公开披露了一个被命名为“Cookie Receiving Bug”的严重安全漏洞。该漏洞影响主流Web浏览器及部分内容分发网络(CDN)服务,可能导致攻击者在用户无感知的情况下,非法接收并窃取存储在浏览器中的小型文本文件——即Cookie。据初步评估,全球约有超过两千万活跃用户可能因此面临账号劫持、隐私泄露等安全威胁。
漏洞原理:同源策略的“隐形裂缝”
Cookie是网站用于识别用户身份、维持会话状态的关键数据,通常受“同源策略”保护——即只有与Cookie来源相同的网站才能读取或写入对应数据。然而,“Cookie Receiving Bug”利用了浏览器在处理服务器推送的接收头(Set-Cookie)时的逻辑缺陷。当用户访问一个包含第三方嵌入资源(如广告、统计脚本)的页面时,攻击者可以通过精心构造的HTTP响应头,绕过硬编码的双向验证机制,强制浏览器将本应归属A网站的Cookie数据,错误地发送至攻击者控制的B网站。
更具体地说,该漏洞存在于某些浏览器的Cookie接收解析器中。正常流程下,浏览器会校验响应头中的Domain和Path属性是否与当前请求一致;但受影响的浏览器在解析不规范但未超标的字符序列时,会触发一处“溢出允许”行为,将接收到的Cookie记录“临时标记”在更宽松的域下。攻击者随后利用这一“临时标记”,通过预置的恶意子域名服务完成数据的正式持久化与窃取。
影响范围:主流浏览器均未幸免
披露方——隶属于哈佛大学伯克曼互联网与社会研究中心的“Web安全研究小组”表示,他们在过去三个月内对Chrome 110-120版本、Firefox 121-124版本、Safari 16.5-17.2版本以及Edge 118-122版本进行了测试,结果均确认存在不同程度的“Cookie Receiving Bug”。此外,使用上述浏览器的安卓和iOS移动端WebView组件也受到了波及。
值得注意的是,该漏洞并非传统意义上的“零日漏洞”,而是一类协议实现层面的设计缺陷。由于浏览器内核在上层实现了差异化处理,各厂商的修复补丁需要与底层网络栈深度协调,导致整体修复周期较长。目前,Chrome和Firefox已分别发布紧急版本(Chrome 124.0.6367.91、Firefox 124.0.2),Safari和Edge的修复计划预计在未来两周内推送。
潜在威胁:从购物车到银行密码
安全专家警告,Cookie被盗取后的破坏力远超用户想象。攻击者不仅可以假冒受害者完成电商平台的购物、支付操作,甚至能够直接登录未启用多因素认证的企业邮箱或在线银行系统。由于部分站点将会话Cookie的有效期设置为“永久有效”,一旦窃取成功,攻击者可长期维持登录状态,形成持续性未知访问。
“这是一个比XSS(跨站脚本攻击)更隐蔽的威胁,”独立安全研究员李维表示,“因为攻击者不需要在目标页面中嵌入恶意代码,只需要有办法在用户浏览过程中插入一个特殊构造的响应包即可。这类攻击通常发生在公共Wi-Fi环境或被篡改的CDN节点上。”
应对建议:立即更新浏览器并清理Cookie
针对广大用户,安全机构建议采取以下措施:
- 立即更新浏览器:前往官方渠道下载最新版本,确保漏洞补丁已生效。
- 清理现存Cookie:在浏览器设置中清除所有站点的Cookie数据,或使用隐私模式(无痕浏览)临时规避风险。
- 关闭自动填充:临时禁用浏览器中的密码自动填充功能,减少凭证暴露链。
- 启用双重认证:对关键账户(如网银、邮箱、社交账号)启用多因素认证,即便Cookie被盗也能拦截非法登录。
- 警惕异常链接:避免在公共网络下访问高度敏感站点,尤其是涉及金融交易时建议使用VPN或HTTPS专用通道。
厂商回应:致歉与赔偿方案尚在商讨
各受影响厂商已在第一时间发布安全公告。Google方面表示,团队将在未来版本中重写Cookie接收器的核心逻辑,并引入基于随机校验位的域匹配机制,从根本上杜绝类似设计漏洞。Apple与Microsoft则呼吁用户尽快安装系统级别安全更新,同时承诺为因该漏洞遭受直接经济损失的企业用户提供“快速响应补偿计划”。
截至发稿时,美国计算机应急响应中心(US-CERT)已将“Cookie Receiving Bug”列为高危漏洞跟踪编号CVE-2025-21485,并提示相关企业安全管理员排查自建应用的Cookie安全策略。这一漏洞的完整技术细节将于30天后在Black Hat Asia安全会议上进行公开分享,届时预计将引发更广泛的讨论与防范跟进。
在全球数字化转型不断深化的今天,一个小小的“接收”缺陷,再次为我们敲响了网络安全的警钟。对于使用者而言,时刻保持警惕、及时更新软件,仍是最有效的护身符。