Zabezpečte Google Chrome proti zranitelnosti typu Meltdown a Spectre
Jak již možná víte, všechny procesory Intel vydané během poslední dekády jsou postiženy vážným problémem. Speciálně zdeformovaný kód lze použít ke krádeži soukromých dat jakéhokoli jiného procesu, včetně citlivých dat, jako jsou hesla, bezpečnostní klíče a tak dále. I prohlížeč s povoleným JavaScriptem lze použít jako vektor útoku. Pokud jste uživatelem prohlížeče Google Chrome/Chromium, můžete provést následující.
Pokud si nejste vědomi zranitelností Meltdown a Spectre, podrobně jsme je probrali v těchto dvou článcích:
- Microsoft vydává nouzovou opravu pro chyby CPU Meltdown a Spectre
- Zde jsou opravy chyb procesoru Meltdown a Spectre ve Windows 7 a 8.1
Stručně řečeno, zranitelnosti Meltdown i Spectre umožňují procesu číst soukromá data jakéhokoli jiného procesu, a to i mimo virtuální stroj. To je možné díky implementaci Intelu, jak jejich CPU přednačítají data. Toto nelze opravit pouze záplatou operačního systému. Oprava zahrnuje aktualizaci jádra operačního systému a také aktualizaci mikrokódu CPU a možná i aktualizaci UEFI/BIOS/firmwaru pro některá zařízení, aby se plně zmírnily exploity.
Útok lze provést pouze pomocí JavaScriptu pomocí prohlížeče.
Dnes je venku nová verze Google Chrome. Chrome 63.0.3239.132 přichází s řadou bezpečnostních oprav, ale neobsahuje žádnou speciální opravu pro Meltdown a Spectre Vulnerabilities. Pro ochranu před zmíněnými chybami zabezpečení můžete ručně povolit Full Site Isolation.
Co je úplná izolace webu
Site Isolation je bezpečnostní funkce v prohlížeči Chrome, která nabízí další ochranu proti některým typům bezpečnostních chyb. Nedůvěryhodným webům to znesnadňuje přístup nebo krádež informací z vašich účtů na jiných webech.
Webové stránky obvykle nemohou přistupovat ke svým datům v prohlížeči, a to díky kódu, který prosazuje zásady stejného původu. Občas se v tomto kódu najdou bezpečnostní chyby a škodlivé weby se mohou pokusit obejít tato pravidla a zaútočit na jiné weby. Tým Chrome se snaží takové chyby co nejrychleji opravit.
Site Isolation nabízí druhou linii obrany, která snižuje pravděpodobnost úspěchu takových zranitelností. Zajišťuje, že stránky z různých webů jsou vždy zařazeny do různých procesů, z nichž každý běží v karanténě, která omezuje, co může proces dělat. Blokuje také proces přijímání určitých typů citlivých dokumentů z jiných webů. V důsledku toho bude pro škodlivý web obtížnější krást data z jiných webů, i když ve svém vlastním procesu může porušit některá pravidla.
Úplná izolace stránek bude v prohlížeči Google Chrome 64 ve výchozím nastavení povolena.
V aktuální verzi Google Chrome můžete povolit úplnou izolaci webu ručně. To přidá další ochranu proti zranitelnosti Meltdown a Spectre.
Zabezpečte Google Chrome proti zranitelnosti Meltdown a Spectre
- Otevřete Google Chrome.
- Typ
chrome://flags/#enable-site-per-processv adresním řádku. - Povolte příznak „Přísná izolace webu“ pomocí tlačítka vedle popisu příznaku.
Upozorňujeme, že povolení úplné izolace stránek zvýší využití paměti – Google uvádí, že to může být o 10 až 20 % více než obvykle. Správci se mohou rozhodnout zapnout izolaci stránek Chrome pro všechny weby nebo vybrat seznam webů, které mají spustit ve vlastním procesu vykreslování.
Za zmínku stojí, že Firefox používá jiný ochranný mechanismus. Pokud jste uživatelem Firefoxu, přečtěte si prosím následující článek:
Vydán Firefox 57.0.4 s řešením útoku Meltdown a Spectre
A je to.
