Der jüngste Anstieg von Specter Schwachstellen, die bösartige Code ermöglicht sensible Daten kapern ist in der neuesten Version von Google Chrome adressiert wird. Die neuesten Sicherheits Blog aus dem Blog der Browser gibt einen Einblick auf Chrome die Fähigkeit, das Problem zu mildern, indem die Website Isolationsmechanismus.
Wird Site Isolation schützen Google Chrome From The Spectre Vulnerability
Der Aufstieg des Specter Verwundbarkeiten mit ihrer Fähigkeit, Hijacking sensible Informationen einfachen Code hat unter Hardware-Herstellern und Software-Entwickler ernsthafte Bedenken, Wege zu finden schnell einen etwaigen Missbrauch zu lösen. Das Google Chrome-Entwicklungsteam vor kurzem in einem angekündigt Blog-Beitrag dass sie die Site-Isolierung hinzufügen - die Funktion wird in allen Versionen seit Chrome aktiviert sein 67. Zu diesem Zeitpunkt war diese Funktion als eine optionale Funktion zur Verfügung, die die Benutzer manuell aktivieren benötigt.
Der Specter Verwundbarkeit ist sehr gefährlich, da Web-Browser im Allgemeinen JavaScript-Code ausführen, viele von ihnen können böswillige sein. Die Schwachstelle ermöglicht Specter Malware-infizierte Code, um die Seitenkanäle und möglicherweise Erntedaten von anderen Seiten zu verwenden, die in dem Prozess Thread ausgeführt werden. Dieser Mechanismus wird durch die Einbeziehung von Site-Isolierung in Google Chrome direkt verhindert.
ähnliche Geschichte: CVE-2018-3693: New Specter 1.1 Vulnerability Emerges
Für sich allein der Zusatz dieses Mechanismus ändert zugrundeliegende Architektur des Google Chrome in der Begrenzung die Art und Weise verschiedene Standorte verarbeitet werden. Durch Entwurf gekennzeichnet der Browser eine Multi-Prozess-Operation, die jede Lasche in einen separaten Prozess gerendert definiert. Die verschiedenen Registerkarten können auch Prozesse wechseln, wenn an einen neuen Standort in bestimmten Situationen zu navigieren. Doch die Spectre Verwundbarkeit Proof-of-Concept-Angriffe einen hypothetischen Angriff Modell zeigen. Es ermöglicht Hacker bösartige Seiten enthüllt sensible Daten zu konstruieren.
Ein Beispiel wäre die Verwendung von Cross-Site iframes und Pop-ups sein, die in vielen Fällen in der gleichen Bedrohung verarbeitet werden. Als Folge kann ein Angriff Specter Daten in dem Rahmen zeigen, wie die folgenden:
- Kekse.
- Benutzereingabe.
- Passwörter.
- ausgewählte Werte.
Mit Google Chrome-Site Isolation anstelle jeder gerendert werden, Daten von höchstens einem Ort verarbeiten. Eine zusätzliche Funktion aufgerufen Cross-Origin lesen Blocking (CROW) verhindert einen etwaigen Missbrauch. Dieser Mechanismus wird Cross-Site interaktive Antworten transparent blockieren (HTML, XML und JSON) ohne die Kompatibilität zu beeinträchtigen.
Web-Entwickler müssen sicherstellen, dass Web-Elemente mit dem richtigen MIME-Typ trägt den NOSNIFF repsonse Kopf servieren Probleme zu vermeiden. Für weitere Details siehe Diese Entwicklerseite.
Der Blog-Beitrag heißt es, dass die Entwickler auch aktiv weiteres Merkmal Ergänzungen zur Umsetzung gehen die Browser gegen alle Arten der möglichen Specter Angriffe zu sichern. Die Arbeit wird auf die Website Isolation Mechanismus Chrome Android zu portieren getan. Im Moment gibt es einige bekannte Probleme, die es Implementierung von Standard behindern. Ab Version Chrome für Android-Nutzer können manuell aktivieren, indem Sie das folgende Flag einrichten:
Chrom://Fahnen / # enable-Ort-per-Prozess
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: