Уязвимость функции CSPSource::schemeMatches (WebKit/Source/core/frame/csp/CSPSource.cpp) реализации CSP компонента Blink браузера Google Chrome связана с ошибками применения политик безопасности, настроенных для протоколов http и ws, к защищенным протоколам https и wss. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, определить, какой веб-сайт был посещен с использованием HSTS-соединения путем чтения CSP-отчетов
Использование рекомендаций произвоителя:
http://googlechromereleases.blogspot.com/2016/07/stable-channel-update.html
| Балл | 4.3 — средняя опасность |