Google hat Beispielcode für einen Angriff auf die Spectre-Sicherheitslücken in Prozessoren veröffentlicht. Er soll zeigen, dass solche Attacken praktikabel sind und welche Gefahr von Ihnen ausgeht. Der Proof-of-Concept richtet sich gegen die JavaScript-Engine eines Browsers, mit dem Ziel, Daten aus dem Arbeitsspeicher auszulesen.
2018 hatte Google zwei Varianten der Spectre-Seitenkanal-Angriffe beschrieben. Die Variante 1 nahm JavaScript in Browsern ins Visier. Die als CVE-2017-5753 bezeichnete Sicherheitslücke in Prozessoren steckt in der als spekulative Ausführung bekannten Funktion, die eigentlich die Leistung von Prozessoren erhöhen soll. Sie erlaubt es unter Umständen aber auch, dass eine schädliche Websites vertrauliche Daten wie Passwörter abgreift.
Webentwicklern stellt Google nun eine Demo eines Spectre-Angriffs auf der Website leaky.page zur Verfügung. Ein Video der Attacke ist zudem auf Youtube erhältlich und alle technischen Details fasst Google auf GitHub zusammen.
Google möchte Entwicklern von Web-Anwendungen vermitteln, wie wichtig ist es, Vorkehrungen gegen Spectre-Angriffe auf Anwendungsebene zu integrieren. Google betonte zudem, dass der für einen Skylake-Prozessor von Intel und Chrome 88 unter Linux entwickelte Beispielcode auch auf andere CPUs, Browser und Betriebssystem übertragbar sei. Mit geringen Anpassungen sei er auch auf Apples M1-Prozessor erfolgreich.
“Die Web-Plattform verlässt sich auf den Ursprung als grundlegende Sicherheitsgrenze, und die Browser leisten ziemlich gute Arbeit, wenn es darum geht, explizite Datenlecks von einem Ursprung zum anderen zu verhindern”, erklärte der Google-Mitarbeiter Mike West. “Angriffe wie Spectre zeigen jedoch, dass wir noch viel Arbeit vor uns haben, um implizite Datenlecks zu minimieren. Die Seitenkanäle, die durch diese Angriffe ausgenutzt werden, beweisen, dass Angreifer alle Daten lesen können, die in einen Prozess gelangen, der den Code des Angreifers hostet. Diese Angriffe sind heute recht praktikabel und stellen ein echtes Risiko für Benutzer dar.”
Doch trotz steigendem Interesse wissen viele Unternehmen nicht, wo sie anfangen sollen, um KI-Agenten sinnvoll…
Fabric hilft Plusnet bei der Etablierung einer stringenten Datenkultur und ermöglicht es den Fachbereichen, geschäftlichen…
Der tatsächliche Mehrwert von KI-Agenten zeigt sich erst dann, wenn sie über System- und Herstellergrenzen…
Ferroelektrisches Oxid verringert den Energieverbrauch erheblich und verkürzt Latenzzeiten von Computerarchitekturen.
Hyperscaler ermöglichen ISVs eine schnellere Markteinführung ihrer Produkte, wobei damit die verbundenen Herausforderungen steigen, sagt…
Warenhauskette setzt auf die KI-gesteuerten Fähigkeiten zur Bedarfsplanung und Nachversorgung von Blue Yonder.
