Beveilig Google Chrome tegen Meltdown en Spectre-kwetsbaarheden
Zoals u wellicht al weet, hebben alle Intel-CPU's die in het afgelopen decennium zijn uitgebracht, te maken met een ernstig probleem. Een speciaal misvormde code kan worden gebruikt om de privégegevens van elk ander proces te stelen, inclusief gevoelige gegevens zoals wachtwoorden, beveiligingssleutels enzovoort. Zelfs een browser waarop JavaScript is ingeschakeld, kan als aanvalsvector worden gebruikt. Als u een Google Chrome/Chromium-gebruiker bent, kunt u het volgende doen.
Advertentie
Als je niet op de hoogte bent van de Meltdown- en Spectre-kwetsbaarheden, hebben we ze in detail besproken in deze twee artikelen:
- Microsoft rolt noodoplossing uit voor Meltdown en Spectre CPU-fouten
- Hier zijn Windows 7 en 8.1 fixes voor Meltdown en Spectre CPU-fouten
Kortom, door zowel Meltdown- als Spectre-kwetsbaarheden kan een proces de privégegevens van elk ander proces lezen, zelfs van buiten een virtuele machine. Dit is mogelijk dankzij Intel's implementatie van hoe hun CPU's gegevens prefetchen. Dit kan niet worden opgelost door alleen het besturingssysteem te patchen. De oplossing omvat het updaten van de OS-kernel, evenals een CPU-microcode-update en mogelijk zelfs een UEFI/BIOS/firmware-update voor sommige apparaten, om de exploits volledig te verminderen.
De aanval kan ook met alleen JavaScript worden uitgevoerd via een browser.
Vandaag is er een nieuwe versie van Google Chrome uit. Chrome 63.0.3239.132 wordt geleverd met een aantal beveiligingsoplossingen, maar het bevat geen speciale oplossing voor Meltdown- en Spectre-kwetsbaarheden. U kunt Volledige site-isolatie handmatig inschakelen voor bescherming tegen de genoemde kwetsbaarheden.
Wat is volledige site-isolatie?
Site-isolatie is een beveiligingsfunctie in Chrome die extra bescherming biedt tegen bepaalde soorten beveiligingsbugs. Het maakt het moeilijker voor niet-vertrouwde websites om toegang te krijgen tot of informatie te stelen van uw accounts op andere websites.
Websites hebben doorgaans geen toegang tot elkaars gegevens in de browser, dankzij code die het Same Origin-beleid afdwingt. Af en toe worden beveiligingsbugs in deze code gevonden en kwaadwillende websites kunnen proberen deze regels te omzeilen om andere websites aan te vallen. Het Chrome-team streeft ernaar dergelijke bugs zo snel mogelijk op te lossen.
Site Isolation biedt een tweede verdedigingslinie om dergelijke kwetsbaarheden minder kans van slagen te geven. Het zorgt ervoor dat pagina's van verschillende websites altijd in verschillende processen worden geplaatst, elk in een sandbox die beperkt wat het proces mag doen. Het blokkeert ook het proces om bepaalde soorten gevoelige documenten van andere sites te ontvangen. Als gevolg hiervan zal een kwaadwillende website het moeilijker vinden om gegevens van andere sites te stelen, zelfs als het in zijn eigen proces sommige regels kan overtreden.
Volledige site-isolatie wordt standaard ingeschakeld in Google Chrome 64.
In de huidige versie van Google Chrome kunt u Volledige site-isolatie handmatig inschakelen. Dit voegt extra bescherming toe tegen de Meltdown- en Spectre-kwetsbaarheden.
Beveilig Google Chrome tegen Meltdown en Spectre-kwetsbaarheden
- Google Chrome openen.
- Type
chrome://flags/#enable-site-per-process
in de adresbalk. - Schakel de vlag "Strikte site-isolatie" in met de knop naast de vlagbeschrijving.
Houd er rekening mee dat het inschakelen van volledige site-isolatie het geheugengebruik zal verhogen - Google stelt dat dit 10%-20% meer kan zijn dan normaal. Beheerders kunnen ervoor kiezen om Site-isolatie van Chrome voor alle sites in te schakelen of een lijst met websites te selecteren die in hun eigen weergaveproces moeten worden uitgevoerd.
Het is vermeldenswaard dat Firefox een ander beschermingsmechanisme gebruikt. Als u een Firefox-gebruiker bent, raadpleeg dan het volgende artikel:
Firefox 57.0.4 uitgebracht met oplossing voor Meltdown- en Spectre-aanval
Dat is het.