Il recente aumento delle vulnerabilità spettro che permette codice dannoso per dirottare i dati sensibili viene affrontato nella sua ultima versione di Google Chrome. L'ultimo blog di sicurezza dal blog del browser fornisce una visione sulla capacità di Chrome di mitigare il problema utilizzando il meccanismo di isolamento sito.
L'isolamento del sito vi proteggerà Google Chrome dalla vulnerabilità Spectre
L'aumento delle vulnerabilità Spectre con la loro capacità di dirottare le informazioni sensibili utilizzando semplice codice ha sollevato gravi preoccupazioni tra i fornitori di hardware e sviluppatori software per trovare il modo di risolvere rapidamente eventuali abusi. Il team di sviluppo di Google Chrome ha recentemente annunciato in un post sul blog che essi sono l'aggiunta di isolamento del sito - la funzione sarà abilitata in tutte le versioni dal Chrome 67. Per questa data questa funzionalità era disponibile come funzione opzionale che gli utenti necessari per abilitare manualmente.
La vulnerabilità Spectre è molto pericoloso in quanto i browser web in genere eseguito codice JavaScript, molti di loro può essere dannoso. La vulnerabilità Spettro permette codice malware infettati utilizzare i canali laterali e dati potenzialmente raccolto da altri siti che si eseguono nel thread processo. Questo meccanismo è direttamente prevenuta con l'inserimento dell'isolamento sito in Google Chrome.
Story correlati: CVE-2018-3693: Nuovo Spectre 1.1 vulnerabilità emerge
Di per sé l'aggiunta di questo meccanismo cambia architettura sottostante Google Chrome nel limitare il modo siti differenti vengono elaborati. In base alla progettazione del browser ha caratterizzato un funzionamento multi-processo che ha definito ogni scheda ad un processo reso separata. Le diverse schede possono anche attivare processi durante la navigazione in un sito in determinate situazioni. Tuttavia la vulnerabilità Spectre proof-of-concept attacchi non mostrano un modello di attacco ipotetica. Esso consente agli hacker di costruire pagine dannose rivelare dati sensibili.
Un esempio potrebbe essere l'uso di iframe cross-site e pop-up che in molti casi vengono trasformati negli stessi minaccia. Di conseguenza un attacco Spectre può rivelare dati nelle cornici come il seguente:
- Biscotti.
- input dell'utente.
- Password.
- valori selezionati.
Con l'isolamento del sito di Google Chrome in atto ogni resa di effettuare il trattamento dei dati da al massimo un posto. Una funzione aggiuntiva chiamata Cross-Origin Leggi Blocco (CROW) impedisce ogni possibile abuso. Questo meccanismo sarà trasparente bloccare tra siti risposte interattive (HTML, XML e JSON) senza incidere compatibilità.
Gli sviluppatori web dovranno fare in modo che gli elementi web sono serviti con i tipi MIME corretti recanti l'intestazione NOSNIFF repsonse per evitare problemi. Per ulteriori dettagli vedere questa pagina sviluppatore.
Il post sul blog afferma che gli sviluppatori stanno anche attivamente andando a implementare ulteriori funzionalità aggiunte per garantire i browser nei confronti di tutte le maniere di possibili attacchi Spectre. Il lavoro è stato fatto per la porta il meccanismo di isolamento del sito a Chrome Android. Al momento ci sono alcuni problemi noti che ostacolano la sua implementazione di default. A partire dalla versione Chrome per gli utenti Android saranno in grado di girare manualmente impostando il flag seguente:
cromo://bandiere / # enable-site-per-processo
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: