Spectre: Google macht Seiten-Isolierung in Chrome zum Standard

Um Nutzer besser gegen Angriffe wie Spectre zu schützen, nutzt der Chrome-Browser nun standardmäßig eine strikte Isolierung von Webseiten. Bisherige Änderungen an Javascript gegen Spectre sollen aufgehoben werden. Das Team will gegen weitere Angriffsvektoren vorgehen.

Artikel veröffentlicht am ,
Googles Chrome nutzt noch mehr Prozesse für eine bessere Isolierung.
Googles Chrome nutzt noch mehr Prozesse für eine bessere Isolierung. (Bild: Shrijagannatha, Wikimedia Commons/CC-BY-SA 4.0)

Auf die Veröffentlichung der Spectre-Angriffe Anfang dieses Jahres reagierten die vier großen Browserhersteller in einer koordinierten Aktion mit Notfallpatches, die die Genauigkeit von Timern reduzieren und die Sharedarraybuffer-Funktion deaktivieren. Damit sollen die Timing-Angriffe von Spectre verhindert werden. Google hat zusätzlich die Verwendung der Enterprise-Funktion zur strikten Seiten-Isolierung empfohlen. Letzteres ist nun in Chrome 67 standardmäßig für fast alle Nutzer aktiviert, wie das Unternehmen in seinem Security-Blog mitteilt.

Stellenmarkt
  1. IT-Sachbearbeiter (w/m/d)
    Stadt NÜRNBERG, Nürnberg
  2. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin am Lehrstuhl für Informatik ... (m/w/d)
    Universität Passau, Passau
Detailsuche

Das Ziel beim Ausnutzen der Spectre-Lücken ist es, Zugriff auf Speicherbereiche zu erhalten, die Angreifern eigentlich verwehrt bleiben sollten. Bisher nutzte die Multi-Prozessarchitektur von Chrome üblicherweise einen Prozess pro Tab. Gelang es Angreifern, eigene Seiteninhalte etwa per Cross-Site-Iframe oder -Pop-Up ihren Opfern auf anderen Seiten unterzuschieben, sei es theoretisch möglich gewesen, dass Code von Angreifern im gleichen Prozess wie der Rest der Seite lief. Mittels Spectre hätten so Daten wie Passwörter ausgelesen werden können.

Für die strikte Seiten-Isolierung trennt Chrome die Inhalte einer Seite beziehungsweise eines Tabs aber noch weiter auf und setzt dafür unter anderem auf mehrere Rendering-Prozesse für die einzelnen Inhalte einer Seite, die von verschiedenen Quellen stammen. Chrome nutzt außerdem eine Richtlinie für die Technik Cross-Origin Read Blocking (CORB). Damit soll das Nachladen eventuell bösartiger Inhalte erkannt und verhindert werden, bevor diese den Browser erreichen. Der Nachteil der strikteren Isolierung sind mehr Prozesse und damit eine zehn Prozent höhere Speichernutzung als bisher.

Google hat die Seiten-Isolierung für 99 Prozent der Chrome-Nutzer ausgerollt. Das restliche 1 Prozent der Nutzer dient zum Überwachen und Beheben von möglichen Leistungseinbußen. Weil mit der Seiten-Isolierung die von Spectre ausgehende Gefahr deutlich reduziert wird, will das Team künftig die Genauigkeit der eingangs erwähnten Timer wieder erhöhen und auch das Sharedarraybuffer wieder zur Nutzung freigeben. Das Team arbeitet darüber hinaus an weiteren Sicherheitsvorkehrungen, die etwa gegen von Angreifern vollständig übernommene Render-Prozesse schützen sollen. Die Seiten-Isolierung soll mit dem kommenden Chrome 68 auch auf Android ausgerollt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. High Purity in der Produktion: Unter Druck reinigen
    High Purity in der Produktion
    Unter Druck reinigen

    Ob Autos, Elektronik, Medizin oder Halbleiter: Die Reinhaltung bis in den Nanobereich wird immer wichtiger. Das stellt hohe Anforderung an Monitoring und Prozesslenkung.
    Ein Bericht von Detlev Prutz

  3. Japan und die Digitalisierung: Immer noch zu analog
    Japan und die Digitalisierung
    Immer noch zu analog

    Japan ist bekannt für Hightech und Roboter. Bei der Digitalisierung liegt man aber hinter anderen Industriestaaten, viele Arbeitsprozesse sind bis heute analog.
    Ein Bericht von Felix Lill

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /