Abo
  • Services:

Spectre: Google macht Seiten-Isolierung in Chrome zum Standard

Um Nutzer besser gegen Angriffe wie Spectre zu schützen, nutzt der Chrome-Browser nun standardmäßig eine strikte Isolierung von Webseiten. Bisherige Änderungen an Javascript gegen Spectre sollen aufgehoben werden. Das Team will gegen weitere Angriffsvektoren vorgehen.

Artikel veröffentlicht am ,
Googles Chrome nutzt noch mehr Prozesse für eine bessere Isolierung.
Googles Chrome nutzt noch mehr Prozesse für eine bessere Isolierung. (Bild: Shrijagannatha, Wikimedia Commons/CC-BY-SA 4.0)

Auf die Veröffentlichung der Spectre-Angriffe Anfang dieses Jahres reagierten die vier großen Browserhersteller in einer koordinierten Aktion mit Notfallpatches, die die Genauigkeit von Timern reduzieren und die Sharedarraybuffer-Funktion deaktivieren. Damit sollen die Timing-Angriffe von Spectre verhindert werden. Google hat zusätzlich die Verwendung der Enterprise-Funktion zur strikten Seiten-Isolierung empfohlen. Letzteres ist nun in Chrome 67 standardmäßig für fast alle Nutzer aktiviert, wie das Unternehmen in seinem Security-Blog mitteilt.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Das Ziel beim Ausnutzen der Spectre-Lücken ist es, Zugriff auf Speicherbereiche zu erhalten, die Angreifern eigentlich verwehrt bleiben sollten. Bisher nutzte die Multi-Prozessarchitektur von Chrome üblicherweise einen Prozess pro Tab. Gelang es Angreifern, eigene Seiteninhalte etwa per Cross-Site-Iframe oder -Pop-Up ihren Opfern auf anderen Seiten unterzuschieben, sei es theoretisch möglich gewesen, dass Code von Angreifern im gleichen Prozess wie der Rest der Seite lief. Mittels Spectre hätten so Daten wie Passwörter ausgelesen werden können.

Für die strikte Seiten-Isolierung trennt Chrome die Inhalte einer Seite beziehungsweise eines Tabs aber noch weiter auf und setzt dafür unter anderem auf mehrere Rendering-Prozesse für die einzelnen Inhalte einer Seite, die von verschiedenen Quellen stammen. Chrome nutzt außerdem eine Richtlinie für die Technik Cross-Origin Read Blocking (CORB). Damit soll das Nachladen eventuell bösartiger Inhalte erkannt und verhindert werden, bevor diese den Browser erreichen. Der Nachteil der strikteren Isolierung sind mehr Prozesse und damit eine zehn Prozent höhere Speichernutzung als bisher.

Google hat die Seiten-Isolierung für 99 Prozent der Chrome-Nutzer ausgerollt. Das restliche 1 Prozent der Nutzer dient zum Überwachen und Beheben von möglichen Leistungseinbußen. Weil mit der Seiten-Isolierung die von Spectre ausgehende Gefahr deutlich reduziert wird, will das Team künftig die Genauigkeit der eingangs erwähnten Timer wieder erhöhen und auch das Sharedarraybuffer wieder zur Nutzung freigeben. Das Team arbeitet darüber hinaus an weiteren Sicherheitsvorkehrungen, die etwa gegen von Angreifern vollständig übernommene Render-Prozesse schützen sollen. Die Seiten-Isolierung soll mit dem kommenden Chrome 68 auch auf Android ausgerollt werden.



Anzeige
Spiele-Angebote
  1. 12,49€
  2. (-20%) 15,99€
  3. 13,49€
  4. 34,99€ (erscheint am 14.02.)

Folgen Sie uns
       


Nubia Red Magic Mars - Hands on (CES 2019)

Das Red Magic Mars von Nubia ist ein Gaming-Smartphone mit guter Hardware - und einem ziemlich guten Preis.

Nubia Red Magic Mars - Hands on (CES 2019) Video aufrufen
Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

    •  /