Proteja o Google Chrome contra vulnerabilidades de fusão e espectro
Como você já deve saber, todas as CPUs Intel lançadas durante a última década foram afetadas por um problema sério. Um código especialmente malformado pode ser usado para roubar os dados privados de qualquer outro processo, incluindo dados confidenciais como senhas, chaves de segurança e assim por diante. Até mesmo um navegador com JavaScript habilitado pode ser usado como vetor de ataque. Se você for um usuário do Google Chrome / Chromium, você pode fazer o seguinte.
Se você não está ciente das vulnerabilidades Meltdown e Spectre, nós as cobrimos em detalhes nestes dois artigos:
- A Microsoft está lançando uma correção de emergência para falhas de CPU de Meltdown e Spectre
- Aqui estão as correções do Windows 7 e 8.1 para falhas de CPU de Meltdown e Spectre
Resumindo, as vulnerabilidades Meltdown e Spectre permitem que um processo leia os dados privados de qualquer outro processo, mesmo de fora de uma máquina virtual. Isso é possível devido à implementação da Intel de como suas CPUs pré-buscam dados. Isso não pode ser corrigido apenas com o patch do sistema operacional. A correção envolve a atualização do kernel do sistema operacional, bem como uma atualização do microcódigo da CPU e possivelmente até mesmo uma atualização de UEFI / BIOS / firmware para alguns dispositivos, para mitigar totalmente os exploits.
O ataque pode ser executado apenas com JavaScript também usando um navegador.
Hoje, uma nova versão do Google Chrome foi lançada. O Chrome 63.0.3239.132 vem com uma série de correções de segurança, mas não inclui nenhuma correção especial para vulnerabilidades de Meltdown e Spectre. Você pode habilitar o isolamento completo de sites manualmente para proteção contra as vulnerabilidades mencionadas.
O que é isolamento de site completo
O isolamento de sites é um recurso de segurança do Chrome que oferece proteção adicional contra alguns tipos de bugs de segurança. Isso torna mais difícil para sites não confiáveis acessar ou roubar informações de suas contas em outros sites.
Os sites normalmente não podem acessar os dados uns dos outros dentro do navegador, graças ao código que aplica a Política da Mesma Origem. Ocasionalmente, bugs de segurança são encontrados neste código e sites maliciosos podem tentar contornar essas regras para atacar outros sites. A equipe do Chrome visa corrigir esses bugs o mais rápido possível.
O isolamento de site oferece uma segunda linha de defesa para tornar menos provável o sucesso dessas vulnerabilidades. Ele garante que as páginas de diferentes sites sejam sempre colocadas em processos diferentes, cada um sendo executado em uma área restrita que limita o que o processo tem permissão para fazer. Ele também impede que o processo receba certos tipos de documentos confidenciais de outros sites. Como resultado, um site malicioso terá mais dificuldade em roubar dados de outros sites, mesmo que possa quebrar algumas das regras em seu próprio processo.
O isolamento completo do site será ativado por padrão no Google Chrome 64.
Na versão atual do Google Chrome, você pode ativar o isolamento completo de sites manualmente. Isso adicionará proteção extra contra as vulnerabilidades Meltdown e Spectre.
Proteja o Google Chrome contra vulnerabilidades Meltdown e Spectre
- Abra o Google Chrome.
- Modelo
chrome: // flags / # enable-site-per-processna barra de endereço. - Habilite o sinalizador "Isolamento estrito do site" usando o botão ao lado da descrição do sinalizador.
Observe que a ativação do isolamento de site completo aumentará o uso de memória - o Google afirma que pode ser de 10% a 20% a mais do que o normal. Os administradores podem escolher ativar o isolamento de sites do Chrome para todos os sites ou selecionar uma lista de sites para executar em seu próprio processo de renderização.
Vale ressaltar que o Firefox está usando um mecanismo de proteção diferente. Se você for um usuário do Firefox, consulte o seguinte artigo:
Firefox 57.0.4 lançado com solução alternativa de ataque Meltdown e Spectre
É isso.
