De recente stijging van Specter kwetsbaarheden waarmee kwaadaardige code om gevoelige gegevens te kapen wordt aangepakt in de nieuwste versie van Google Chrome. Het nieuwste security blog uit de blog van de browser geeft inzicht op het vermogen van Chrome om het probleem te verminderen door het gebruik van de site isolatiemechanisme.
Site Isolation zal beschermen Google Chrome From The Spectre Vulnerability
De opkomst van de Spectre kwetsbaarheden met hun vermogen van het kapen van gevoelige informatie met behulp van eenvoudige code heeft geleid tot ernstige bezorgdheid onder leveranciers van hardware en software-ontwikkelaars verhoogd naar manieren om snel aan een mogelijk misbruik op te lossen. Het ontwikkelteam van Google Chrome heeft onlangs aangekondigd in een blogpost dat ze voegen Site Isolation - de functie wordt geactiveerd in alle versies sinds Chrome 67. Tot op heden is deze functie is beschikbaar als een optionele functie die de gebruiker nodig is om handmatig in te schakelen.
De Spectre kwetsbaarheid is erg gevaarlijk als webbrowsers algemeen JavaScript code uit te voeren, velen van hen kunnen kwaadaardig. Spectre kwetsbaar maakt malware geïnfecteerde code om de zijkanalen en mogelijk oogstgegevens van andere sites die zijn uitgevoerd in het proces gebruikt thread. Dit mechanisme is direct voorkomen door het opnemen van de site isolatie in Google Chrome.
Verwante Story: CVE-2018-3693: New Spectre 1.1 Kwetsbaarheid Emerges
Door zelf de toevoeging van dit mechanisme verandert onderliggende architectuur van Google Chrome in de manier waarop verschillende sites worden verwerkt beperken. Door het ontwerp van de browser werd gekenmerkt door een multi-proces operatie die elk tabblad gedefinieerd als een apart gerenderd proces. De verschillende tabbladen kunt zelfs processen te schakelen bij het navigeren naar een nieuwe site in bepaalde situaties. Echter, de Spectre kwetsbaarheid aanslagen proof-of-concept vertonen een hypothetische aanval model. Het stelt hackers te construeren kwaadaardige pagina's onthullen van gevoelige gegevens.
Een voorbeeld hiervan is het gebruik van cross-site iframes en pop-ups die in veel gevallen in dezelfde dreiging worden verwerkt. Dientengevolge een aanslag Spectre data in de frames zoals de volgende kunnen onthullen:
- Koekjes.
- Gebruikers invoer.
- Wachtwoorden.
- geselecteerde Waarden.
Met Google Chrome Site Isolation in plaats elke teruggegeven zullen gegevens van ten hoogste één plaats te verwerken. Een extra functie genaamd Cross-Origin lezen Blocking (CROW) voorkomt mogelijk misbruik. Dit mechanisme transparant blok cross-site interactief reacties (HTML, XML en JSON) zonder impact op de compatibiliteit.
Webontwikkelaars zullen moeten ervoor zorgen dat de web-elementen worden geserveerd met de juiste MIME types die de nosniff repsonse header om problemen te voorkomen. Voor verdere details zie deze ontwikkelaar pagina.
De blog post stelt dat de ontwikkelaars zijn ook actief gaan verder kenmerk toevoegingen aan de browsers tegen alle manieren van mogelijke Spectre aanvallen veilig te implementeren. Er wordt gewerkt aan de haven van de Site Isolation mechanisme om Chrome voor Android. Op dit moment zijn er een aantal bekende problemen die het keren is de uitvoering standaard. Vanaf versie Chrome voor Android-gebruikers in staat om handmatig zet hem aan door het opzetten van de volgende vlag zal zijn:
chroom://flags / # enable-ter-per-proces
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: