>> サイバーニュース >Spook.js: 新しいスペクターのような攻撃はChromeを危険にさらします, Chromiumベースのブラウザ
サイバーニュース

Spook.js: 新しいスペクターのような攻撃はChromeを危険にさらします, Chromiumベースのブラウザ

  |  Last Update:  |  0 コメントコメント  

Spook.js-新しいSpectreのような攻撃がChromeブラウザを危険にさらす-sensorstechforum

オーストラリアの大学からの学者のチーム, イスラエル, そして米国は新しいを作成しました サイドチャネル攻撃 GoogleChromeのサイト分離機能を対象としています. 攻撃, Spook.jsと呼ばれる, ChromeおよびChromiumベースのブラウザを標的とする新しい一時的な実行サイドチャネルエクスプロイトです, スペクターを軽減するためのGoogleの試みが完全に成功していないことを示す.

Spook.js攻撃の説明

"すなわち, 攻撃者が制御するWebページは、ユーザーが現在閲覧している同じWebサイトの他のページを知ることができることを示しています。, これらのページから機密情報を取得する, ログイン資格情報を回復することもできます (例えば, ユーザー名とパスワード) 自動入力されるとき. さらに、攻撃者がChrome拡張機能からデータを取得できることを示します (クレデンシャルマネージャーなど) ユーザーが悪意のある拡張機能をインストールした場合,」チームは彼らの中で言った 報告.




発見はに関連しています MeltdownとSpectreのエクスプロイト, プロセッサ上で実行されている悪意のあるコードが他のアプリから、または安全なCPU領域からでもデータを回復できるようにするCPU設計の欠陥. セキュリティの脆弱性は、特定のチップを使用するすべてのタイプのコンピュータとデバイスの世代全体に影響を及ぼします (M1チップを搭載したIntelプロセッサまたはAppleデバイス). この欠陥により、攻撃者はユーザーアプリケーションとオペレーティングシステム間の基本的な分離を破ることができます。. コンピュータによって処理されている情報が攻撃者に漏洩する可能性があります.

サイトの分離: 十分でない

欠陥を軽減するために, Googleはいわゆるサイト分離を追加しました, Chrome以降のすべてのバージョンで有効 67. それらのイベントの前に, この機能は、ユーザーが手動で有効にする必要があるオプション機能として利用可能でした.

このメカニズムの追加により、Google Chromeの基盤となるアーキテクチャが変更され、さまざまなサイトの処理方法が制限されました。. 意図的に, ブラウザは、各タブを個別のレンダリングされたプロセスに定義するマルチプロセス操作を特徴としていました. 特定の状況で新しいサイトに移動するときに、さまざまなタブでプロセスを切り替えることもできます. でも, Spectreの脆弱性の概念実証攻撃により、架空の攻撃モデルが明らかになりました. これにより、潜在的な脅威アクターが機密データを明らかにする悪意のあるページを作成できるようになりました.

言い換えると, 攻撃にもかかわらず、理論的にのみ実証されました, 彼らは、セキュリティの観点から最新のCPUの設計上の弱点を示しました.

Spook.jsはどのように機能しますか?

すぐに言った, Spook.js攻撃の概念を思いついた学者のチームは、現在のサイト分離メカニズムがサブドメインを分離していないことに気づきました, これは別の設計上の欠陥です.

「Spook.jsは、サイト分離設計のこの穴を悪用します, どうやらグーグルは知っている, しかし、それについても何もできません, サブドメインレベルでJavaScriptコードを分離すると、 13.4% すべてのインターネットサイトの,」TheRecordは指摘しました.

基本的, Spook.jsは、CromeおよびChromiumベースのブラウザに対してSpectreのようなサイドチャネル攻撃を引き起こす可能性のあるJavaScriptツールです。, Intelで実行, AMD, およびAppleM1プロセッサ. すでに述べたように, Spook.jsは、攻撃を受けているサイトと同じサブドメインからのみそれをフェッチします. さらに, ツールは、攻撃者がターゲットサイトに特定のコードを正常に植え付けた場合にのみ機能します. これは障害物のように聞こえるかもしれませんが, 本当にそうではありません, 多くのウェブサイトでは、ユーザーがサブドメインを作成して独自のJavaScriptコードを実行できるようになっています, Tumblrを含む, GitHib, BitBucket, とりわけ.




サイトがハッキングされる可能性もあります, しかし、研究チームは倫理的な研究規範のためにそれほど遠くまで行きませんでした. それにもかかわらず, このシナリオも考慮に入れる必要があります, 彼らは言った.

もし興味があれば, あなたも見ることができます コンセプトの証明 GitHubで入手可能.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. .SPECTERファイルウイルス – ファイルの削除と復元 Read this article to learn how to remove Spectre ransomware...
  2. MeltdownとSpectreは、コンピューターの危険な世代を悪用します Security researchers discovered one of the most dangerous processor flaws...
  3. CVE-2018-3693: 新しいスペクター 1.1 脆弱性が出現 The latest variant of the Spectre series of bugs have...
  4. Google Chromeは、サイトの分離によってSpectreの脆弱性を軽減します The recent rise of Spectre vulnerabilities that allows malicious code...
  5. スペクターRATの除去 Spectre RAT とは Spectre RAT とは...
  6. CVE-2018-3639: スペクターバリアント 4 脆弱性はLinuxカーネルに影響を及ぼします スペクターバリアント 4 脆弱性が確認されました...
  7. NetSpectreバグ–新しいSpectreメソッドがネットワーク接続を介してCPUを攻撃する New evolved Spectre Bug has been discovered by security researchers....
  8. SplitSpectreCPUの脆弱性が発見されました: さらに別のハードウェア設計の欠陥 We have just received reports that a team of researchers...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します