Zoals u wellicht al weet, zijn alle Intel-CPU's die in het afgelopen decennium zijn uitgebracht, getroffen door een ernstig probleem. Een speciaal misvormde code kan worden gebruikt om de privégegevens van elk ander proces te stelen, inclusief gevoelige gegevens zoals wachtwoorden, beveiligingssleutels enzovoort. Zelfs een browser waarin JavaScript is ingeschakeld, kan als aanvalsvector worden gebruikt. Als u een Google Chrome / Chromium-gebruiker bent, kunt u het volgende doen.
Advertentie
Als u niet op de hoogte bent van de Meltdown- en Spectre-kwetsbaarheden, hebben we deze in deze twee artikelen in detail behandeld:
- Microsoft implementeert een noodoplossing voor CPU-fouten in Meltdown en Spectre
- Hier zijn Windows 7 en 8.1 fixes voor Meltdown en Spectre CPU-fouten
Kortom, zowel Meltdown- als Spectre-kwetsbaarheden zorgen ervoor dat een proces de privégegevens van een ander proces kan lezen, zelfs van buiten een virtuele machine. Dit is mogelijk dankzij de implementatie van Intel van hoe hun CPU's gegevens vooraf ophalen. Dit kan niet worden opgelost door alleen het besturingssysteem te patchen. De oplossing omvat het updaten van de OS-kernel, evenals een CPU-microcode-update en mogelijk zelfs een UEFI / BIOS / firmware-update voor sommige apparaten, om de exploits volledig te beperken.
De aanval kan ook worden uitgevoerd met alleen JavaScript met een browser.
Vandaag is er een nieuwe versie van Google Chrome uit. Chrome 63.0.3239.132 wordt geleverd met een aantal beveiligingsoplossingen, maar bevat geen speciale oplossing voor Meltdown- en Spectre-kwetsbaarheden. U kunt volledige site-isolatie handmatig inschakelen ter bescherming tegen de genoemde kwetsbaarheden.
Wat is volledige site-isolatie
Site-isolatie is een beveiligingsfunctie in Chrome die extra bescherming biedt tegen bepaalde soorten beveiligingsfouten. Het maakt het moeilijker voor niet-vertrouwde websites om toegang te krijgen tot of informatie te stelen van uw accounts op andere websites.
Websites hebben doorgaans geen toegang tot elkaars gegevens in de browser, dankzij code die het Same Origin-beleid afdwingt. Af en toe worden er beveiligingsfouten in deze code aangetroffen en kunnen kwaadwillende websites proberen deze regels te omzeilen om andere websites aan te vallen. Het Chrome-team probeert dergelijke bugs zo snel mogelijk op te lossen.
Site Isolation biedt een tweede verdedigingslinie om ervoor te zorgen dat dergelijke kwetsbaarheden minder snel slagen. Het zorgt ervoor dat pagina's van verschillende websites altijd in verschillende processen worden geplaatst, elk in een sandbox die beperkt wat het proces mag doen. Het blokkeert ook het proces voor het ontvangen van bepaalde soorten gevoelige documenten van andere sites. Als gevolg hiervan zal een kwaadwillende website het moeilijker vinden om gegevens van andere sites te stelen, zelfs als hij tijdens zijn eigen proces enkele regels kan overtreden.
Volledige site-isolatie is standaard ingeschakeld in Google Chrome 64.
In de huidige versie van Google Chrome kunt u volledige site-isolatie handmatig inschakelen. Dit voegt extra bescherming toe tegen de Meltdown- en Spectre-kwetsbaarheden.
Beveilig Google Chrome tegen Meltdown en Spectre-kwetsbaarheden
- Open Google Chrome.
- Type
chrome: // flags / # enable-site-per-process
in de adresbalk. - Schakel de vlag 'Strikte site-isolatie' in met de knop naast de vlagbeschrijving.
Merk op dat het inschakelen van volledige site-isolatie het geheugengebruik zal verhogen - Google stelt dat het 10% -20% meer kan zijn dan normaal. Beheerders kunnen ervoor kiezen Site-isolatie van Chrome in te schakelen voor alle sites of een lijst met websites selecteren om in hun eigen weergaveproces uit te voeren.
Het is vermeldenswaard dat Firefox een ander beschermingsmechanisme gebruikt. Als u een Firefox-gebruiker bent, raadpleeg dan het volgende artikel:
Firefox 57.0.4 uitgebracht met Meltdown en Spectre-aanvalsoplossing
hoe een inactieve Instagram-gebruikersnaam te krijgen
Dat is het.