Kaitske Google Chrome kokkuvarisemise ja spekterhaavatavuste eest
Nagu võib-olla juba teate, on kõik viimase kümnendi jooksul välja lastud Inteli protsessorid tõsise probleemi käes. Spetsiaalselt väära vorminguga koodi saab kasutada mis tahes muu protsessi privaatsete andmete, sealhulgas tundlike andmete, nagu paroolid, turvavõtmed ja nii edasi, varastamiseks. Isegi brauserit, kus JavaScript on lubatud, saab kasutada ründevektorina. Kui olete Google Chrome'i/Chromiumi kasutaja, saate teha järgmist.
Kui te pole Meltdowni ja Spectre haavatavustest teadlik, oleme neid üksikasjalikult käsitlenud nendes kahes artiklis:
- Microsoft käivitab Meltdowni ja Spectre protsessori vigade jaoks erakorralise paranduse
- Siin on Windows 7 ja 8.1 parandused Meltdowni ja Spectre protsessori vigade jaoks
Lühidalt öeldes võimaldavad nii Meltdowni kui ka Spectre haavatavused protsessil lugeda mis tahes muu protsessi privaatseid andmeid, isegi väljaspool virtuaalmasinat. See on võimalik tänu Inteli juurutamisele, kuidas nende protsessorid andmeid eellaadivad. Seda ei saa parandada ainult OS-i paikamisega. Parandus hõlmab OS-i tuuma värskendamist, samuti CPU mikrokoodi värskendust ja võib-olla isegi UEFI/BIOS-i/püsivara värskendust mõne seadme jaoks, et ärakasutamist täielikult leevendada.
Rünnakut saab läbi viia ka ainult JavaScriptiga, kasutades brauserit.
Täna on välja antud Google Chrome'i uus versioon. Chrome 63.0.3239.132 sisaldab mitmeid turvaparandusi, kuid see ei sisalda eriparandusi Meltdowni ja Spectre haavatavuste jaoks. Mainitud haavatavuste eest kaitsmiseks saate saidi täieliku eraldamise käsitsi lubada.
Mis on saidi täielik isoleerimine
Saidi eraldamine on Chrome'i turvafunktsioon, mis pakub täiendavat kaitset teatud tüüpi turvavigade eest. See raskendab ebausaldusväärsete veebisaitide juurdepääsu teie kontode teabele või selle varastamise teistel veebisaitidel.
Veebisaidid ei pääse tavaliselt brauseris üksteise andmetele juurde tänu koodile, mis jõustab sama päritolupoliitika. Mõnikord leitakse selles koodis turvavigu ja pahatahtlikud veebisaidid võivad proovida neist reeglitest mööda minna, et rünnata teisi veebisaite. Chrome'i meeskonna eesmärk on sellised vead võimalikult kiiresti parandada.
Saidi eraldamine pakub teist kaitseliini, mis vähendab selliste haavatavuste õnnestumist. See tagab, et erinevate veebisaitide lehed suunatakse alati erinevatesse protsessidesse, millest igaüks töötab liivakastis, mis piirab protsessil lubatud tegevusi. Samuti blokeerib see protsessi teatud tüüpi tundlike dokumentide vastuvõtmise teistelt saitidelt. Selle tulemusena on pahatahtlikul veebisaidil raskem varastada andmeid teistelt saitidelt, isegi kui see võib oma protsessis mõnda reeglit rikkuda.
Saidi täielik isoleerimine on Google Chrome 64-s vaikimisi lubatud.
Google Chrome'i praeguses versioonis saate täieliku saidi eraldamise käsitsi lubada. See lisab täiendavat kaitset Meltdowni ja Spectre haavatavuste vastu.
Kaitske Google Chrome'i kokkuvarisemise ja Spectre haavatavuste eest
- Avage Google Chrome.
- Tüüp
chrome://flags/#enable-site-per-process
aadressiribal. - Lubage lipp "Saidi range isoleerimine", kasutades lipu kirjelduse kõrval olevat nuppu.
Pange tähele, et saidi täieliku eraldamise lubamine suurendab mälukasutust – Google väidab, et see võib olla tavapärasest 10–20% suurem. Administraatorid saavad Chrome'i saidiisolatsiooni sisse lülitada kõikide saitide jaoks või valida veebisaitide loendi, mida oma renderdusprotsessis käitada.
Tasub mainida, et Firefox kasutab teistsugust kaitsemehhanismi. Kui olete Firefoxi kasutaja, lugege järgmist artiklit:
Firefox 57.0.4 avaldati koos Meltdowni ja Spectre rünnaku lahendusega
See on kõik.