Sikre Google Chrome mot Meltdown og Spectre-sårbarheter

Som du kanskje allerede vet, er alle Intel CPUer utgitt i løpet av det siste tiåret påvirket av et alvorlig problem. En spesielt misformet kode kan brukes til å stjele de private dataene til enhver annen prosess, inkludert sensitive data som passord, sikkerhetsnøkler og så videre. Selv en nettleser med JavaScript aktivert kan brukes som angrepsvektor. Hvis du er en Google Chrome/Chromium-bruker, kan du gjøre følgende.

Hvis du ikke er klar over Meltdown- og Spectre-sårbarhetene, har vi dekket dem i detalj i disse to artiklene:

Microsoft ruller ut nødløsning for Meltdown og Spectre CPU-feil
Her er Windows 7 og 8.1 reparasjoner for Meltdown og Spectre CPU-feil

Kort sagt, både Meltdown- og Spectre-sårbarheter lar en prosess lese de private dataene til enhver annen prosess, selv fra utenfor en virtuell maskin. Dette er mulig på grunn av Intels implementering av hvordan CPU-ene forhåndshenter data. Dette kan ikke fikses kun ved å lappe operativsystemet. Løsningen innebærer oppdatering av OS-kjernen, samt en CPU-mikrokodeoppdatering og muligens til og med en UEFI/BIOS/fastvareoppdatering for enkelte enheter, for å redusere utnyttelsene fullt ut.

Angrepet kan utføres med kun JavaScript også ved å bruke en nettleser.

I dag er en ny versjon av Google Chrome ute. Chrome 63.0.3239.132 kommer med en rekke sikkerhetsreparasjoner, men den inkluderer ingen spesiell rettelse for Meltdown og Spectre Vulnerabilities. Du kan aktivere Full Site Isolation manuelt for beskyttelse mot de nevnte sårbarhetene.

Hva er Full Site Isolation

Site Isolation er en sikkerhetsfunksjon i Chrome som gir ekstra beskyttelse mot enkelte typer sikkerhetsfeil. Det gjør det vanskeligere for upålitelige nettsteder å få tilgang til eller stjele informasjon fra kontoene dine på andre nettsteder.

Nettsteder kan vanligvis ikke få tilgang til hverandres data i nettleseren, takket være kode som håndhever Samme Origin Policy. Noen ganger blir det funnet sikkerhetsfeil i denne koden, og ondsinnede nettsteder kan prøve å omgå disse reglene for å angripe andre nettsteder. Chrome-teamet har som mål å fikse slike feil så raskt som mulig.

Site Isolation tilbyr en andre forsvarslinje for å gjøre slike sårbarheter mindre sannsynlige for å lykkes. Det sikrer at sider fra forskjellige nettsteder alltid settes inn i forskjellige prosesser, som hver kjører i en sandkasse som begrenser hva prosessen har lov til å gjøre. Det blokkerer også prosessen fra å motta visse typer sensitive dokumenter fra andre nettsteder. Som et resultat vil et ondsinnet nettsted finne det vanskeligere å stjele data fra andre nettsteder, selv om det kan bryte noen av reglene i sin egen prosess.

Full Site Isolation vil være aktivert som standard i Google Chrome 64.

I den nåværende versjonen av Google Chrome kan du aktivere Full Site Isolation manuelt. Dette vil legge til ekstra beskyttelse mot Meltdown- og Spectre-sårbarhetene.