Sikre Google Chrome mot Meltdown og Spectre-sårbarheter
Som du kanskje allerede vet, er alle Intel CPUer utgitt i løpet av det siste tiåret påvirket av et alvorlig problem. En spesielt misformet kode kan brukes til å stjele de private dataene til enhver annen prosess, inkludert sensitive data som passord, sikkerhetsnøkler og så videre. Selv en nettleser med JavaScript aktivert kan brukes som angrepsvektor. Hvis du er en Google Chrome/Chromium-bruker, kan du gjøre følgende.
Annonse
Hvis du ikke er klar over Meltdown- og Spectre-sårbarhetene, har vi dekket dem i detalj i disse to artiklene:
- Microsoft ruller ut nødløsning for Meltdown og Spectre CPU-feil
- Her er Windows 7 og 8.1 reparasjoner for Meltdown og Spectre CPU-feil
Kort sagt, både Meltdown- og Spectre-sårbarheter lar en prosess lese de private dataene til enhver annen prosess, selv fra utenfor en virtuell maskin. Dette er mulig på grunn av Intels implementering av hvordan CPU-ene forhåndshenter data. Dette kan ikke fikses kun ved å lappe operativsystemet. Løsningen innebærer oppdatering av OS-kjernen, samt en CPU-mikrokodeoppdatering og muligens til og med en UEFI/BIOS/fastvareoppdatering for enkelte enheter, for å redusere utnyttelsene fullt ut.
Angrepet kan utføres med kun JavaScript også ved å bruke en nettleser.
I dag er en ny versjon av Google Chrome ute. Chrome 63.0.3239.132 kommer med en rekke sikkerhetsreparasjoner, men den inkluderer ingen spesiell rettelse for Meltdown og Spectre Vulnerabilities. Du kan aktivere Full Site Isolation manuelt for beskyttelse mot de nevnte sårbarhetene.
Hva er Full Site Isolation
Site Isolation er en sikkerhetsfunksjon i Chrome som gir ekstra beskyttelse mot enkelte typer sikkerhetsfeil. Det gjør det vanskeligere for upålitelige nettsteder å få tilgang til eller stjele informasjon fra kontoene dine på andre nettsteder.
Nettsteder kan vanligvis ikke få tilgang til hverandres data i nettleseren, takket være kode som håndhever Samme Origin Policy. Noen ganger blir det funnet sikkerhetsfeil i denne koden, og ondsinnede nettsteder kan prøve å omgå disse reglene for å angripe andre nettsteder. Chrome-teamet har som mål å fikse slike feil så raskt som mulig.
Site Isolation tilbyr en andre forsvarslinje for å gjøre slike sårbarheter mindre sannsynlige for å lykkes. Det sikrer at sider fra forskjellige nettsteder alltid settes inn i forskjellige prosesser, som hver kjører i en sandkasse som begrenser hva prosessen har lov til å gjøre. Det blokkerer også prosessen fra å motta visse typer sensitive dokumenter fra andre nettsteder. Som et resultat vil et ondsinnet nettsted finne det vanskeligere å stjele data fra andre nettsteder, selv om det kan bryte noen av reglene i sin egen prosess.
Full Site Isolation vil være aktivert som standard i Google Chrome 64.
I den nåværende versjonen av Google Chrome kan du aktivere Full Site Isolation manuelt. Dette vil legge til ekstra beskyttelse mot Meltdown- og Spectre-sårbarhetene.
Sikre Google Chrome mot Meltdown og Spectre-sårbarheter
- Åpne Google Chrome.
- Type
chrome://flags/#enable-site-per-process
i adressefeltet. - Aktiver flagget "Streng nettstedsisolering" ved å bruke knappen ved siden av flaggbeskrivelsen.
Vær oppmerksom på at aktivering av Full Site Isolation vil øke minnebruken – Google oppgir at det kan være 10–20 % mer enn vanlig. Administratorer kan velge å slå på Chromes nettstedsisolering for alle nettsteder eller velge en liste over nettsteder som skal kjøres i sin egen gjengivelsesprosess.
Det er verdt å nevne at Firefox bruker en annen beskyttelsesmekanisme. Hvis du er en Firefox-bruker, vennligst se følgende artikkel:
Firefox 57.0.4 utgitt med Meltdown og Spectre-angrepsløsning
Det er det.