浏览器制造商敦促Web开发人员采取行动,beplay体育能用吗以抵抗继续困扰该行业的脆弱性
更新Google的安全团队警告说,在发现臭名昭著的幽灵漏洞后三年,黑客仍然可以利用安全缺陷,以强迫网络浏览器泄漏信息。beplay体育能用吗
尽管浏览器开发人员进行了广泛的努力,但仍在出现问题。
该研究的结果发表了Google安全博客在星期五(3月12日),并包括概念验证的利用JavaScript编写的,该利用仍然可以与多个浏览器,操作系统和处理器作用。
研究的主要课程是,幽灵仍然困扰着该行业 - 因此,开发人员需要采取应用程序级缓解措施,以防止潜在的攻击。
幽灵脆弱性
首次报道2018年幽灵脆弱性及其双胞胎崩溃,两者都利用了现代CPU的优化功能中的缺陷,以规避防止不同过程访问彼此记忆空间的安全机制。
这幽灵漏洞允许对包括Web应用在内的不同类型的应用程序进行广泛的攻击。beplay体育能用吗黑客可以通过利用不同的应用程序和流程与处理器和芯片内存储器的方式来利用浏览器中的不同网站上提取敏感信息,从而有可能利用这些缺陷来提取敏感信息。beplay体育能用吗
虽然较新的CPU部分缓解了幽灵脆弱性在硬件级别上,仍然需要基于软件的缓解措施,以进一步限制潜在攻击的范围。
随着云提供者和操作系统供应商,Web浏览器的开发商一直在努力保护用户免受幽灵攻击。beplay体育能用吗
他们的措施包括浏览器保护选项,例如网站隔离和未经处理的iFrame,以及Web开发人员可以使用的安全功能来控制网站中使用的资源的起源。beplay体育能用吗
“这些机制虽然至关重要,但并不能阻止幽灵的剥削;相反,它们保护敏感的数据免受攻击者可以阅读的记忆部分中的存在。” Google安全团队解释说。
黑客浏览器
Google安全团队开发的概念验证(POC)在Chrome上利用JavaScript引擎,但研究人员表示,同样的问题也适用于其他浏览器。
POC基于一个小工具,该小工具利用了观察攻击副作用的侧通道上“变体1”幽灵漏洞。
变体1幽灵,也称为“界限旁路攻击”,操纵处理器的投机执行机制,以访问越野内存位置。
从幽灵使用等投机执行攻击中窃取秘密数据的侧通道正时攻击技术确定目标数据的位置。现代浏览器减少了其时间计量功能的粒度,以防止这种攻击。
Google安全团队开发了一项新技术,该技术克服了这种限制并用低精度计时器泄漏数据。
研究人员发布了他们的POC的演示在线的:
研究人员总结说:“尽管我们不认为这种特殊的POC可以在没有重大修改的情况下为邪恶目的而重复使用,但它可以使人们对幽灵的风险进行令人信服的证明。”
“特别是,我们希望它为Web应用程序开发人员提供明确的信号,他们需要在其安全评估中考虑这种风险,并采取积极的步beplay体育能用吗骤来保护其站点。”
beplay体育能用吗网络开发人员敦促采取行动
缺乏硬件更改和固件更新,没有简单的方法来为诸如Spectre,Google Security Team等诸如Spectre的猜测执行漏洞开发全面的修复程序。
博beplay体育能用吗客文章指出:“ Web开发人员应使用新的安全机制来考虑更牢固地隔离其网站,从而积极拒绝攻击者访问交叉原始资源。”
去年,Google安全发布了综合指南关于不同光谱式硬件攻击和常见的Web级跨站点泄漏的缓解技术。beplay体育能用吗
但是,建议的方法要求开发人员评估这些漏洞对其应用程序构成的威胁,并了解如何部署它们。
任务远非直接。
为了进一步协助网络开发人员,Chrobeplay体育能用吗me安全团队已发布了一份冗长的指南硬化网络应用程序抵抗beplay体育能用吗幽灵攻击。
该指南专注于控制和限制交叉原始资源共享和网站之间的交互。beplay体育能用吗
Google安全团队警告说,即使严格应用,缓解技术也不能保证完全保护幽灵
研究人员建议:“他们[缓解]需要一种考虑的部署方法,该方法将特定于给定应用的行为考虑在内。”
此故事的更新是为了澄清,甚至最新的CPU都没有提供针对Spectre的完全保护
