멜트다운 및 스펙터 취약점으로부터 Google 크롬 보호
이미 알고 계시겠지만 지난 10년 동안 출시된 모든 Intel CPU는 심각한 문제의 영향을 받습니다. 암호, 보안 키 등과 같은 민감한 데이터를 포함하여 다른 프로세스의 개인 데이터를 훔치는 데 특수하게 변형된 코드가 사용될 수 있습니다. JavaScript가 활성화된 브라우저라도 공격 벡터로 사용될 수 있습니다. Google Chrome/Chromium 사용자인 경우 다음을 수행할 수 있습니다.
광고
Meltdown 및 Spectre 취약점에 대해 잘 모르는 경우 다음 두 문서에서 자세히 다루었습니다.
- Microsoft는 Meltdown 및 Spectre CPU 결함에 대한 긴급 수정 사항을 배포하고 있습니다.
- 다음은 Meltdown 및 Spectre CPU 결함에 대한 Windows 7 및 8.1 수정 사항입니다.
간단히 말해서, Meltdown 및 Spectre 취약점은 프로세스가 가상 머신 외부에서도 다른 프로세스의 개인 데이터를 읽을 수 있도록 합니다. 이것은 CPU가 데이터를 프리페치하는 방식에 대한 인텔의 구현으로 인해 가능합니다. OS 패치만으로는 해결할 수 없습니다. 수정에는 OS 커널 업데이트와 CPU 마이크로코드 업데이트, 일부 장치에 대한 UEFI/BIOS/펌웨어 업데이트가 포함되어 익스플로잇을 완전히 완화합니다.
공격은 브라우저를 사용하는 JavaScript로도 수행할 수 있습니다.
오늘 Google Chrome의 새 버전이 출시되었습니다. Chrome 63.0.3239.132에는 여러 보안 수정 사항이 포함되어 있지만 Meltdown 및 Spectre Vulnerabilities에 대한 특별 수정 사항은 포함되어 있지 않습니다. 언급된 취약점으로부터 보호하기 위해 전체 사이트 격리를 수동으로 활성화할 수 있습니다.
전체 사이트 격리란 무엇입니까?
사이트 격리는 일부 유형의 보안 버그에 대한 추가 보호를 제공하는 Chrome의 보안 기능입니다. 신뢰할 수 없는 웹사이트가 다른 웹사이트에 있는 귀하의 계정 정보에 액세스하거나 정보를 훔치는 것을 더 어렵게 만듭니다.
웹 사이트는 일반적으로 동일한 출처 정책을 적용하는 코드 덕분에 브라우저 내에서 서로의 데이터에 액세스할 수 없습니다. 때때로 이 코드에서 보안 버그가 발견되며 악성 웹사이트가 이러한 규칙을 우회하여 다른 웹사이트를 공격할 수 있습니다. Chrome 팀은 가능한 한 빨리 이러한 버그를 수정하는 것을 목표로 합니다.
사이트 격리는 이러한 취약점이 성공할 가능성을 줄이기 위한 2차 방어선을 제공합니다. 이는 서로 다른 웹사이트의 페이지가 항상 서로 다른 프로세스에 배치되도록 하며, 각각은 프로세스가 수행할 수 있는 작업을 제한하는 샌드박스에서 실행됩니다. 또한 프로세스가 다른 사이트에서 특정 유형의 민감한 문서를 수신하지 못하도록 차단합니다. 결과적으로 악의적인 웹 사이트는 자체 프로세스에서 일부 규칙을 위반할 수 있더라도 다른 사이트에서 데이터를 훔치는 것이 더 어렵다는 것을 알게 됩니다.
전체 사이트 격리는 Chrome 64에서 기본적으로 활성화됩니다.
Google Chrome의 현재 릴리스에서는 전체 사이트 격리를 수동으로 활성화할 수 있습니다. 이것은 Meltdown 및 Spectre 취약점에 대한 추가 보호 기능을 추가합니다.
Meltdown 및 Spectre 취약점으로부터 Google Chrome 보호
- 구글 크롬을 엽니다.
- 유형
chrome://flags/#enable-site-per-process
주소 표시줄에서 - 플래그 설명 옆에 있는 버튼을 사용하여 "엄격한 사이트 격리" 플래그를 활성화합니다.
전체 사이트 격리를 활성화하면 메모리 사용량이 증가합니다. Google에서는 평소보다 10%-20% 더 많을 수 있다고 말합니다. 관리자는 모든 사이트에 대해 Chrome의 사이트 격리를 켜거나 자체 렌더링 프로세스에서 실행할 웹사이트 목록을 선택할 수 있습니다.
Firefox가 다른 보호 메커니즘을 사용하고 있다는 점은 언급할 가치가 있습니다. Firefox 사용자인 경우 다음 문서를 참조하십시오.
Meltdown 및 Spectre 공격 해결 방법과 함께 출시된 Firefox 57.0.4
그게 다야