image

Google beschermt Chrome-gebruikers tegen Spectre-aanvallen

donderdag 25 januari 2018, 09:59 door Redactie, 8 reacties

Google heeft een nieuwe versie van Chrome uitgebracht die gebruikers tegen de twee Spectre-aanvallen moet beschermen. Ook beschikt de browser nu over een sterkere pop-upblocker. Chrome 64.0.3282.119 verhelpt in totaal 53 kwetsbaarheden waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen.

24 kwetsbaarheden die in Chrome 64 zijn gepatcht werden gerapporteerd door externe onderzoekers. Google betaalde hen 22.000 dollar, hoewel het uiteindelijke bedrag hoger zal liggen omdat nog niet alle beloningen zijn vastgesteld. De bescherming tegen de Spectre-aanvallen, die misbruik van kwetsbaarheden in processors maken, moet voorkomen dat een aanvaller via JavaScript informatie uit het geheugen van de computer kan stelen, zoals wachtwoorden.

Verder introduceert Chrome 64 een sterkere pop-upblocker. Twintig procent van de klachten die Chrome-desktopgebruikers doen gaat over ongewenste content. Het gaat dan bijvoorbeeld om third-party websites die vermomd zijn als een speelknop of transparante overlays op websites die alle clicks afvangen en een nieuwe tab of nieuw venster openen.

Dergelijke methodes worden geregeld door scamsites en voor de verspreiding van adware en andere ongewenste software gebruikt. Om gebruikers hier tegen te beschermen zal de pop-upblocker in Chrome 64 nu het openen van nieuwe tabs of vensters via automatische redirects en andere misleidende manieren tegengaan. Updaten naar Chrome 64 zal op de meeste systemen automatisch gaan.

Reacties (8)
25-01-2018, 10:33 door Anoniem
ja leuk? Firefox was al eerder uitgekomen voor Spectre -aanvallen
bij deze wil ik dit even vermelden
25-01-2018, 10:43 door Anoniem
Door Anoniem: ja leuk? Firefox was al eerder uitgekomen voor Spectre -aanvallen
bij deze wil ik dit even vermelden
Hoewel ik zelf geen Chrome-gebruiker ben, zeg ik (positief blijven) liever "laat dan nooit".
25-01-2018, 11:37 door Anoniem
De titel klinkt meer als een reclameslogan dan als een nieuwsartikel
25-01-2018, 13:50 door Anoniem
Door Anoniem: De titel klinkt meer als een reclameslogan dan als een nieuwsartikel
Dan zou ik zeggen: start dan zelf een website waar je het beter zegt te kunnen doen.
25-01-2018, 17:58 door Anoniem
Hmmm, ik dacht dat Spectre op hardware CPU niveau ligt.

M.a.w. je kunt wel een browser hebben die je beschermd, echter als je hardware niet is geupdate tegen Spectre kunnen ze
wellicht dit lek misbruiken buiten een browser om. Veel mensen gebruiken toch ook meerdere browsers tegenlijk of naast elkaar.

En zover ik alles lees moet men een BIOS upgrade hebben of microcode om je tegen Spectre te beschermen.
Of zit ik ernaast?
26-01-2018, 10:44 door Krakatau - Bijgewerkt: 26-01-2018, 10:47
Door Anoniem: Hmmm, ik dacht dat Spectre op hardware CPU niveau ligt.

Quoting Google:

https://github.com/v8/v8/wiki/Untrusted-code-mitigations:

These mitigations are enabled by the --untrusted-code-mitigations flag:

o Masking of addresses before memory accesses in WebAssembly and asm.js to ensure that speculatively executed memory loads cannot access memory outside of the WebAssembly and asm.js heaps.
o Masking of the indices in JIT code used to access JavaScript arrays and strings in speculatively executed paths to ensure speculative loads cannot be made with arrays and string to memory addresses that should not accessible to JavaScript code.
26-01-2018, 14:13 door Anoniem
Door Anoniem: Hmmm, ik dacht dat Spectre op hardware CPU niveau ligt.

M.a.w. je kunt wel een browser hebben die je beschermd, echter als je hardware niet is geupdate tegen Spectre kunnen ze
wellicht dit lek misbruiken buiten een browser om. Veel mensen gebruiken toch ook meerdere browsers tegenlijk of naast elkaar.

En zover ik alles lees moet men een BIOS upgrade hebben of microcode om je tegen Spectre te beschermen.
Of zit ik ernaast?

Klopt, Spectre is een kwetsbaarheid in de hardware. Maar omdat vervangen daarvan lang gaat duren, worden er nu op alle lagen er boven updates toegepast om het zo lastig mogelijk te maken om de kwetsbaarheid te misbruiken.

Dat is waarom er BIOS/UEFI updates zijn, daarboven op OS-updates en daarboven op updates in voor de hand liggende toepassingen: de browsers.

Voor Edge/Safari zijn al eerder soortgelijke updates uitgebracht: https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/#YXTAfzsS1vb6xheG.97
03-02-2018, 12:32 door [Account Verwijderd]
Chromium versie 64.0.3282.119 onder Linux Mint 18.3 64bit loopt om de haverklap muurvast. In de 6 jaar dat ik Mint gebruik nog nooit zoiets gehad met geen enkele applicatie. Maar weer even terug naar FF. Nog meer gebruikers die deze ervaring hebben?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.