Sicherheitslücke: Google zeigt funktionierenden Spectre-Exploit im Browser

Der Code von Google zum Ausnutzen von Spectre sei "schnell und vielseitig" und soll Web-Entwicklern die Gefahren von Spectre zeigen.

Artikel veröffentlicht am ,
Google warnt vor Spectre-Angriffen im Browser mit einem Beispielangriff.
Google warnt vor Spectre-Angriffen im Browser mit einem Beispielangriff. (Bild: Spencer Platt/Getty Images)

Auch rund drei Jahre nach der Veröffentlichung des Seitenkanal-Angriffs Spectre forschen Sicherheitsspezialisten weiter zu den Möglichkeiten der damit verbundenen Angriffe. Das Security-Team von Google demonstriert nun einen "schnell und vielseitig" einsetzbaren Beispielcode zum Ausnutzen der Spectre-Sicherheitslücke im Browser. Der Code zum Angriff ist in Javascript geschrieben und ermöglicht das Auslesen von Speicherbereichen des Browsers.

Stellenmarkt
  1. IT System Administrator (m/w/d) Schwerpunkt Netzwerk
    Hirschvogel Holding GmbH, Denklingen
  2. Embedded Software Development Engineer (m/w/d)
    RIEDEL Communications GmbH & Co. KG, Wuppertal
Detailsuche

"Wir haben bestätigt, dass dieser Proof-of-Concept oder seine Varianten für eine Vielzahl von Betriebssystemen, Prozessorarchitekturen und Hardwaregenerationen funktionieren", heißt es dazu in der Ankündigung. Die Beteiligten erhoffen sich von der Veröffentlichung des Codes, den Entwicklern von Webanwendungen ein besseres Verständnis der Auswirkungen zu vermitteln, die Spectre-Schwachstellen auf die Sicherheit der Daten ihrer Benutzer haben könnten, wie es weiter heißt.

Das Team von Google arbeitet ebenso wie andere Browser-Hersteller seit Jahren daran, Schutzmaßnahmen umzusetzen, die gegen Angriffe helfen sollen, welche mittels Spectre erfolgen können. Die Beteiligten von Chrome kommen dabei zu dem Schluss, dass Spectre nicht unschädlich gemacht werden kann, sondern die Auswirkungen lediglich abgemildert werden können.

Zu den bereits existierenden Maßnahmen heißt es: "Diese Mechanismen sind zwar von entscheidender Bedeutung, verhindern jedoch nicht die Ausnutzung von Spectre. Sie schützen vielmehr sensible Daten vor dem Vorhandensein in Teilen des Speichers, aus denen sie von Angreifern ausgelesen werden könnten."

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
Weitere IT-Trainings

Den Angriff erklären die Beteiligten durch eine interaktive Demonstration, die mit Skylake-CPUs funktioniert. Durch Code-Anpassungen kann der Angriff aber wie erwähnt auch auf anderen Plattformen genutzt werden. So habe das Team seinen Angriff erfolgreich auf Apples M1 ARM-CPU ausführen können. Der Code des Angriffs steht auf Github bereit. Das Team fasst in einem separaten Blog-Post außerdem nochmals zusammen, was Web-Entwickler beachten sollten, um ihre Seiten und Anwendungen gegen derartige Angriffe zu schützen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /