Abo
  • Services:

Spectre und Meltdown: Browserhersteller patchen gegen Sidechannel-Angriff

Neben den Kernelentwicklern haben auch die großen Browserhersteller Notfallpatches bereitgestellt, die auf Spectre basierende Javascript-Angriffe verhindern sollen. Nutzer sollten ihre Browser aktualisieren.

Artikel veröffentlicht am ,
Auch Browser sind durch Spectre und Meltdown angreifbar.
Auch Browser sind durch Spectre und Meltdown angreifbar. (Bild: Pixabay/isromar/Golem.de / CC0 1.0)

Nach Angaben von Browserentwicklern ist es möglich, die Anfang Januar unter dem Namen Spectre bekannt gewordenen CPU-Bugs per Javascript auch in Web-Anwendungen auszunutzen. Auf diese Weise sei es bösartigen Webseiten möglich, Zugriff auf Daten anderer geöffneter Webseiten zu erlangen.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. ABB AG, Ladenburg

Um solche Angriffe zu verhindern, haben die großen Hersteller Google, Mozilla, Apple und Microsoft für ihre Browser jeweils Notfallpatches bereitgestellt oder angekündigt. Diese sollen vorerst künstlich die Genauigkeit der Methode performance.now() von 5 auf 20 Mikrosekunden reduzieren sowie das Sharedarraybuffer-Feature deaktivieren.

Workaround mit unpräziseren Timern

"Da diese neue Klasse von Angriffen das präzise Messen von Zeitintervallen benötigt, deaktivieren beziehungsweise reduzieren wir als eine kurzfristige und teilweise Lösung mehrere wichtige Zeitquellen", schreibt Mozilla in einem Blogpost. Auch Google und Microsoft nehmen in ihren Browsern Chrome, Edge und Internet Explorer diese Maßnahmen vor. "Die beiden Änderungen erschweren es einem Angreifer erheblich, vom Browserprozess aus erfolgreich auf den Inhalt des CPU-Caches zu schließen", erklärt Microsoft.

Während Microsoft seinen Patch ab Dienstag verteilen will, liefert Mozilla die Korrektur in allen Release Channels ab Firefox 57 bereits an Nutzer aus. Die Schutzmaßnahmen bei Google Chrome sollen dagegen erst mit der kommenden Version 64 am 23. Januar zur Verfügung stehen. Bis dahin rät Google seinen Nutzern, die Funktion Website-Isolierung zu aktivieren. Damit lädt Chrome jede Seite in einem eigenen Prozess und erschwert so das Abgreifen sensibler Daten über Webseiten hinweg.

Dies ist einfach über die Eingabe von chrome://flags/#enable-site-per-process in der Adressleiste des Chrome-Browsers möglich. Anschließend erscheint eine Liste mit Einstellungen, die von dem Eintrag Strikte Website-Isolierung angeführt wird. Mit einem Klick auf den dazugehörenden Aktivieren-Knopf lässt sich diese anschalten. Chrome muss neu gestartet werden, um die Schutzfunktion zu aktivieren. Die Nutzung der strickten Website-Isolierung kann allerdings laut Google den Speicherbedarf von Chrome um 10 bis 20 Prozent erhöhen und zu Problemen beim Drucken von iFrames führen.

Noch viele offene Fragen

Zunächst war unklar, ob auch Apples Produkte von dem Bug betroffen sind. Weil das Unternehmen aber ebenfalls Prozessoren von Intel beziehungsweise ARM einsetzt, wurde dies angenommen. Am Donnerstagabend bestätigte Apple nun, dass MacOS gegen Meltdown bereits gepatcht sei, Safari aber gegen Spectre ein Update benötige, das in Kürze verteilt werden solle.

Offenbar ist aber noch nicht vollständig geklärt, wie weitreichend diese Art von Angriff ist. "Den gesamten Umfang dieser Angriffsklasse müssen wir noch untersuchen", gibt Mozilla zu. "Für die lange Frist haben wir begonnen, mit Techniken zu experimentieren, um den Informationsleak näher an seiner Quelle zu beheben, anstatt ihn nur mithilfe deaktivierter Timer zu verstecken."

Wie lange diese Arbeiten dauern würden, sei schwer vorherzusehen, sagte Mozilla auf Nachfrage von Golem.de. "Es gibt aber noch ein paar grundlegende offene Fragen." Otimistisch sei mit einem Zeitraum von sechs bis zwölf Monaten zu rechnen. Irgendwann sollen die hochauflösenden Timer und auch Sharedarraybuffer wieder zur Verfügung stehen.



Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. ab je 2,49€ kaufen

NixonRichardo 14. Jan 2018

Unter https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing...

Xiut 06. Jan 2018

ich weiß ja nicht, auf welchen Seiten ihr nur so unterwegs seid, aber das ist kompletter...

eidolon 05. Jan 2018

Die armen Politiker... :(

zZz 05. Jan 2018

Mikro- nicht Millisekunde, also noch genauer. Ich könnte mir vorstellen, dass die...


Folgen Sie uns
       


Samsung Flip - Test

Das Samsung Flip ist ein Smartboard, das auf eingängige Weise Präsentationen oder Meetings im Konferenzraum ermöglicht. Auf dem 55 Zoll großen Bildschirm lässt es sich schreiben oder zeichnen - doch erst, wenn wir ein externes Gerät daran anschließen, entfaltet es sein komplettes Potenzial.

Samsung Flip - Test Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Cybercrime Bayern rüstet auf im Kampf gegen Anonymität im Netz
  2. Satelliteninternet Fraunhofer erreicht hohe Datenrate mit Beam Hopping
  3. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

    •  /