Google hat Beispielcode für einen Angriff auf die Spectre-Sicherheitslücken in Prozessoren veröffentlicht. Er soll zeigen, dass solche Attacken praktikabel sind und welche Gefahr von Ihnen ausgeht. Der Proof-of-Concept richtet sich gegen die JavaScript-Engine eines Browsers, mit dem Ziel, Daten aus dem Arbeitsspeicher auszulesen.
2018 hatte Google zwei Varianten der Spectre-Seitenkanal-Angriffe beschrieben. Die Variante 1 nahm JavaScript in Browsern ins Visier. Die als CVE-2017-5753 bezeichnete Sicherheitslücke in Prozessoren steckt in der als spekulative Ausführung bekannten Funktion, die eigentlich die Leistung von Prozessoren erhöhen soll. Sie erlaubt es unter Umständen aber auch, dass eine schädliche Websites vertrauliche Daten wie Passwörter abgreift.
Webentwicklern stellt Google nun eine Demo eines Spectre-Angriffs auf der Website leaky.page zur Verfügung. Ein Video der Attacke ist zudem auf Youtube erhältlich und alle technischen Details fasst Google auf GitHub zusammen.
Google möchte Entwicklern von Web-Anwendungen vermitteln, wie wichtig ist es, Vorkehrungen gegen Spectre-Angriffe auf Anwendungsebene zu integrieren. Google betonte zudem, dass der für einen Skylake-Prozessor von Intel und Chrome 88 unter Linux entwickelte Beispielcode auch auf andere CPUs, Browser und Betriebssystem übertragbar sei. Mit geringen Anpassungen sei er auch auf Apples M1-Prozessor erfolgreich.
“Die Web-Plattform verlässt sich auf den Ursprung als grundlegende Sicherheitsgrenze, und die Browser leisten ziemlich gute Arbeit, wenn es darum geht, explizite Datenlecks von einem Ursprung zum anderen zu verhindern”, erklärte der Google-Mitarbeiter Mike West. “Angriffe wie Spectre zeigen jedoch, dass wir noch viel Arbeit vor uns haben, um implizite Datenlecks zu minimieren. Die Seitenkanäle, die durch diese Angriffe ausgenutzt werden, beweisen, dass Angreifer alle Daten lesen können, die in einen Prozess gelangen, der den Code des Angreifers hostet. Diese Angriffe sind heute recht praktikabel und stellen ein echtes Risiko für Benutzer dar.”
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…