Den seneste stigning i Spectre sårbarheder, der gør det muligt for skadelig kode for at kapre følsomme data bliver behandlet i den seneste version Google Chrome. Den seneste sikkerhed blog fra browserens blog giver indsigt i Chromes evne til at afbøde problemet ved hjælp af webstedet isolation mekanisme.
Webstedet Isolation vil beskytte Google Chrome From The Spectre Sårbarhed
Fremkomsten af de Spectre sårbarheder med deres evne til kapring følsomme oplysninger ved hjælp af simpel kode har rejst alvorlige bekymringer blandt hardwareleverandører og softwareudviklere at finde måder hurtigt at løse eventuelle misbrug. Google Chrome udviklingsteam nylig annonceret i en blogindlæg at de tilføjer site Isolation - funktionen vil blive aktiveret i alle versioner siden Chrome 67. Til denne dato denne funktion var tilgængelig som en valgfri funktion, som brugerne havde brug for at gøre det muligt manuelt.
Den Spectre sårbarhed er meget farligt, da webbrowsere generelt køre JavaScript-kode, mange af dem kan være skadelig. Den Spectre gjorde det muligt for malware-inficerede kode for at bruge den side kanaler og potentielt høst data fra andre websteder, der er udført i processen tråd. Denne mekanisme er direkte forhindret ved inklusion af site isolation i Google Chrome.
relaterede Story: CVE-2018-3693: Ny Spectre 1.1 Sårbarhed fremstår
I sig selv tilføjelsen af denne mekanisme ændrer Google Chromes underliggende arkitektur i at begrænse den måde forskellige steder behandles. Ved design browseren featured en multi-proces operation som defineret hver fane til en separat gengives proces. De forskellige faner kan endda skifte processer, når du navigerer til et nyt sted i visse situationer. Men Spectre sårbarhed proof-of-concept-angreb udviser en hypotetisk angreb model. Det gør det muligt for hackere at konstruere ondsindede sider afslører følsomme data.
Et eksempel ville være brugen af cross-site iframes og pop-ups, som i mange tilfælde er behandlet i den samme trussel. Som følge heraf en Spectre angreb kan afsløre data i rammerne såsom følgende:
- Småkager.
- brugerinput.
- Adgangskoder.
- Valgte værdier.
Med Google Chromes websted Isolation på plads hver gengives vil behandle data fra højst ét sted. En ekstra funktion kaldet Cross-Origin Læs Blokering (CROW) forhindrer enhver mulig misbrug. Denne mekanisme vil gennemsigtigt blokere cross-site interaktive responser (HTML, XML og JSON) uden at påvirke kompatibilitet.
Web-udviklere bliver nødt til at sørge for, at der serveres webelementer med de korrekte MIME-typer, der bærer nosniff repsonse header for at undgå problemer. For yderligere oplysninger henvises denne udvikler side.
Den blogindlæg, at udviklerne også aktivt vil gennemføre yderligere træk tilføjelser til fastgør browsere mod alle manerer af mulige Spectre angreb. Der arbejdes på porten webstedet Isolation mekanisme til Chrome Android. I øjeblikket er der nogle kendte problemer, der hindrer det er implementeringen som standard. Fra og med version Chrome til Android-brugere vil være i stand til manuelt at tænde den ved at oprette følgende flag:
krom://flag / # enable-site-per-proces