Abo
  • Services:

Spectre und Meltdown: Browserhersteller patchen gegen Sidechannel-Angriff

Neben den Kernelentwicklern haben auch die großen Browserhersteller Notfallpatches bereitgestellt, die auf Spectre basierende Javascript-Angriffe verhindern sollen. Nutzer sollten ihre Browser aktualisieren.

Artikel veröffentlicht am ,
Auch Browser sind durch Spectre und Meltdown angreifbar.
Auch Browser sind durch Spectre und Meltdown angreifbar. (Bild: Pixabay/isromar/Golem.de / CC0 1.0)

Nach Angaben von Browserentwicklern ist es möglich, die Anfang Januar unter dem Namen Spectre bekannt gewordenen CPU-Bugs per Javascript auch in Web-Anwendungen auszunutzen. Auf diese Weise sei es bösartigen Webseiten möglich, Zugriff auf Daten anderer geöffneter Webseiten zu erlangen.

Stellenmarkt
  1. Versicherungskammer Bayern, München
  2. Auvesy GmbH, Landau in der Pfalz

Um solche Angriffe zu verhindern, haben die großen Hersteller Google, Mozilla, Apple und Microsoft für ihre Browser jeweils Notfallpatches bereitgestellt oder angekündigt. Diese sollen vorerst künstlich die Genauigkeit der Methode performance.now() von 5 auf 20 Mikrosekunden reduzieren sowie das Sharedarraybuffer-Feature deaktivieren.

Workaround mit unpräziseren Timern

"Da diese neue Klasse von Angriffen das präzise Messen von Zeitintervallen benötigt, deaktivieren beziehungsweise reduzieren wir als eine kurzfristige und teilweise Lösung mehrere wichtige Zeitquellen", schreibt Mozilla in einem Blogpost. Auch Google und Microsoft nehmen in ihren Browsern Chrome, Edge und Internet Explorer diese Maßnahmen vor. "Die beiden Änderungen erschweren es einem Angreifer erheblich, vom Browserprozess aus erfolgreich auf den Inhalt des CPU-Caches zu schließen", erklärt Microsoft.

Während Microsoft seinen Patch ab Dienstag verteilen will, liefert Mozilla die Korrektur in allen Release Channels ab Firefox 57 bereits an Nutzer aus. Die Schutzmaßnahmen bei Google Chrome sollen dagegen erst mit der kommenden Version 64 am 23. Januar zur Verfügung stehen. Bis dahin rät Google seinen Nutzern, die Funktion Website-Isolierung zu aktivieren. Damit lädt Chrome jede Seite in einem eigenen Prozess und erschwert so das Abgreifen sensibler Daten über Webseiten hinweg.

Dies ist einfach über die Eingabe von chrome://flags/#enable-site-per-process in der Adressleiste des Chrome-Browsers möglich. Anschließend erscheint eine Liste mit Einstellungen, die von dem Eintrag Strikte Website-Isolierung angeführt wird. Mit einem Klick auf den dazugehörenden Aktivieren-Knopf lässt sich diese anschalten. Chrome muss neu gestartet werden, um die Schutzfunktion zu aktivieren. Die Nutzung der strickten Website-Isolierung kann allerdings laut Google den Speicherbedarf von Chrome um 10 bis 20 Prozent erhöhen und zu Problemen beim Drucken von iFrames führen.

Noch viele offene Fragen

Zunächst war unklar, ob auch Apples Produkte von dem Bug betroffen sind. Weil das Unternehmen aber ebenfalls Prozessoren von Intel beziehungsweise ARM einsetzt, wurde dies angenommen. Am Donnerstagabend bestätigte Apple nun, dass MacOS gegen Meltdown bereits gepatcht sei, Safari aber gegen Spectre ein Update benötige, das in Kürze verteilt werden solle.

Offenbar ist aber noch nicht vollständig geklärt, wie weitreichend diese Art von Angriff ist. "Den gesamten Umfang dieser Angriffsklasse müssen wir noch untersuchen", gibt Mozilla zu. "Für die lange Frist haben wir begonnen, mit Techniken zu experimentieren, um den Informationsleak näher an seiner Quelle zu beheben, anstatt ihn nur mithilfe deaktivierter Timer zu verstecken."

Wie lange diese Arbeiten dauern würden, sei schwer vorherzusehen, sagte Mozilla auf Nachfrage von Golem.de. "Es gibt aber noch ein paar grundlegende offene Fragen." Otimistisch sei mit einem Zeitraum von sechs bis zwölf Monaten zu rechnen. Irgendwann sollen die hochauflösenden Timer und auch Sharedarraybuffer wieder zur Verfügung stehen.



Anzeige
Top-Angebote
  1. (u. a. Madden NFL 18 und Mass Effect: Andromeda PS4/XBO für je 15€, Gran Turismo Sport für...
  2. (u. a. Resident Evil 7 biohazard für 14,99€, Dungeons 3 für 13,99€, Tom Clancy's Ghost Recon...
  3. (u. a. PSN Card 50 Euro für 43,99€)

NixonRichardo 14. Jan 2018

Unter https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing...

Xiut 06. Jan 2018

ich weiß ja nicht, auf welchen Seiten ihr nur so unterwegs seid, aber das ist kompletter...

eidolon 05. Jan 2018

Die armen Politiker... :(

zZz 05. Jan 2018

Mikro- nicht Millisekunde, also noch genauer. Ich könnte mir vorstellen, dass die...


Folgen Sie uns
       


LG G7 Thinq - Test

Das G7 Thinq ist LGs zweites Smartphone unter der Thinq-Dachmarke. Das Gerät hat eine Kamera, die mit Hilfe künstlicher Intelligenz Bildinhalte analysiert und anhand der Analyseergebnisse die Bildeinstellungen verändert. Mit äußerster Vorsicht sollten Nutzer die Gesichtsentsperrung verwenden, da sie sich in der Standardeinstellung spielend leicht austricksen lässt.

LG G7 Thinq - Test Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
    In eigener Sache
    Freie Schreiber/-innen für Jobthemen gesucht

    IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

    1. Leserumfrage Wie sollen wir Golem.de erweitern?
    2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
    3. Leserumfrage Wie gefällt Ihnen Golem.de?

    IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
    IT-Jobs
    Fünf neue Mitarbeiter in fünf Wochen?

    Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
    Ein Bericht von Juliane Gringer

    1. Frauen in IT-Berufen Programmierte Klischees
    2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
    3. Recruiting IT-Experten brauchen harte Fakten

      •  /