Abo
  • Services:

Spectre und Meltdown: Browserhersteller patchen gegen Sidechannel-Angriff

Neben den Kernelentwicklern haben auch die großen Browserhersteller Notfallpatches bereitgestellt, die auf Spectre basierende Javascript-Angriffe verhindern sollen. Nutzer sollten ihre Browser aktualisieren.

Artikel veröffentlicht am ,
Auch Browser sind durch Spectre und Meltdown angreifbar.
Auch Browser sind durch Spectre und Meltdown angreifbar. (Bild: Pixabay/isromar/Golem.de / CC0 1.0)

Nach Angaben von Browserentwicklern ist es möglich, die Anfang Januar unter dem Namen Spectre bekannt gewordenen CPU-Bugs per Javascript auch in Web-Anwendungen auszunutzen. Auf diese Weise sei es bösartigen Webseiten möglich, Zugriff auf Daten anderer geöffneter Webseiten zu erlangen.

Stellenmarkt
  1. Marienhaus Dienstleistungen GmbH, Saarlouis, Losheim am See
  2. ING-DiBa AG, Nürnberg

Um solche Angriffe zu verhindern, haben die großen Hersteller Google, Mozilla, Apple und Microsoft für ihre Browser jeweils Notfallpatches bereitgestellt oder angekündigt. Diese sollen vorerst künstlich die Genauigkeit der Methode performance.now() von 5 auf 20 Mikrosekunden reduzieren sowie das Sharedarraybuffer-Feature deaktivieren.

Workaround mit unpräziseren Timern

"Da diese neue Klasse von Angriffen das präzise Messen von Zeitintervallen benötigt, deaktivieren beziehungsweise reduzieren wir als eine kurzfristige und teilweise Lösung mehrere wichtige Zeitquellen", schreibt Mozilla in einem Blogpost. Auch Google und Microsoft nehmen in ihren Browsern Chrome, Edge und Internet Explorer diese Maßnahmen vor. "Die beiden Änderungen erschweren es einem Angreifer erheblich, vom Browserprozess aus erfolgreich auf den Inhalt des CPU-Caches zu schließen", erklärt Microsoft.

Während Microsoft seinen Patch ab Dienstag verteilen will, liefert Mozilla die Korrektur in allen Release Channels ab Firefox 57 bereits an Nutzer aus. Die Schutzmaßnahmen bei Google Chrome sollen dagegen erst mit der kommenden Version 64 am 23. Januar zur Verfügung stehen. Bis dahin rät Google seinen Nutzern, die Funktion Website-Isolierung zu aktivieren. Damit lädt Chrome jede Seite in einem eigenen Prozess und erschwert so das Abgreifen sensibler Daten über Webseiten hinweg.

Dies ist einfach über die Eingabe von chrome://flags/#enable-site-per-process in der Adressleiste des Chrome-Browsers möglich. Anschließend erscheint eine Liste mit Einstellungen, die von dem Eintrag Strikte Website-Isolierung angeführt wird. Mit einem Klick auf den dazugehörenden Aktivieren-Knopf lässt sich diese anschalten. Chrome muss neu gestartet werden, um die Schutzfunktion zu aktivieren. Die Nutzung der strickten Website-Isolierung kann allerdings laut Google den Speicherbedarf von Chrome um 10 bis 20 Prozent erhöhen und zu Problemen beim Drucken von iFrames führen.

Noch viele offene Fragen

Zunächst war unklar, ob auch Apples Produkte von dem Bug betroffen sind. Weil das Unternehmen aber ebenfalls Prozessoren von Intel beziehungsweise ARM einsetzt, wurde dies angenommen. Am Donnerstagabend bestätigte Apple nun, dass MacOS gegen Meltdown bereits gepatcht sei, Safari aber gegen Spectre ein Update benötige, das in Kürze verteilt werden solle.

Offenbar ist aber noch nicht vollständig geklärt, wie weitreichend diese Art von Angriff ist. "Den gesamten Umfang dieser Angriffsklasse müssen wir noch untersuchen", gibt Mozilla zu. "Für die lange Frist haben wir begonnen, mit Techniken zu experimentieren, um den Informationsleak näher an seiner Quelle zu beheben, anstatt ihn nur mithilfe deaktivierter Timer zu verstecken."

Wie lange diese Arbeiten dauern würden, sei schwer vorherzusehen, sagte Mozilla auf Nachfrage von Golem.de. "Es gibt aber noch ein paar grundlegende offene Fragen." Otimistisch sei mit einem Zeitraum von sechs bis zwölf Monaten zu rechnen. Irgendwann sollen die hochauflösenden Timer und auch Sharedarraybuffer wieder zur Verfügung stehen.



Anzeige
Hardware-Angebote
  1. 215,71€
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  3. 399€ (Wert der Spiele rund 212€)
  4. 99,99€ (versandkostenfrei)

NixonRichardo 14. Jan 2018

Unter https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing...

Xiut 06. Jan 2018

ich weiß ja nicht, auf welchen Seiten ihr nur so unterwegs seid, aber das ist kompletter...

eidolon 05. Jan 2018

Die armen Politiker... :(

zZz 05. Jan 2018

Mikro- nicht Millisekunde, also noch genauer. Ich könnte mir vorstellen, dass die...


Folgen Sie uns
       


Xiaomi Mi 9 - Hands on (MWC 2019)

Xiaomi bringt das Mi 9 nach Europa. Der Europastart wurde auf dem Mobile World Congress 2019 in Barcelona verkündet. Das Topsmartphone hat eine Triple-Kamera mit bis zu 48 Megapixeln. Es liefert für einen Preis ab 450 Euro eine sehr gute technische Ausstattung.

Xiaomi Mi 9 - Hands on (MWC 2019) Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. EC2 G4 AWS nutzt Nvidias Tesla T4 für Inferencing-Cloud
  2. Zotac Geforce GTX 1660 Ti im Test Gute 1440p-Karte für unter 300 Euro
  3. Nvidia Turing OBS unterstützt Encoder der Geforce RTX

FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
FreeNAS und Windows 10
Der erste NAS-Selbstbau macht glücklich

Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
Ein Erfahrungsbericht von Oliver Nickel

  1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

    •  /