Google强化Chrome的网站隔离,以保护浏览器免受自己的漏洞
Nordic Greentech吸引了投资
缺乏执行领导地位降低数字项目成功率
下一个永久版的办公室在2021年首次亮相
Coast很清楚地安装9月的窗户和办公室补丁
Apple的新款13英寸。 MacBook Pro获取魔术键盘
OVH Rebrand信号重新推动推动成为欧洲的替代云提供商
Zoho希望使用用户办理登机手续,实时视频源模仿遥控器办公室
BlackBerry表示,其新的数字工作场所消除了VPN,VDI的需求
WWDC:Apple船舶为开发人员提供新的Catalyst应用程序
苹果可能会在明年的iPad中放置(自我开发的)5G调制解调器
微软警告,Nodersok Malware活动感染了数千个
自治送货车在古德伍德的速度节
Microsoft推出其第二次更新Rerun,Windows 10 20H2
微软在SaaS收入获得提升,推动团队平台
Vivaldi加入反跟踪浏览器兄弟会
报告说,英国网络安全进展停滞不前
Facebook伦敦招聘狂欢侧重于处理在线危害
奥地利最高法院绿灯GDPR对Facebook的案例
2020: 办公室发现它的声音?
苹果在轨道上为3nm硅iphone等2022年
Slack,Atlassian深化与应用程序集成和帐户的护照联系
Apple的隐私营养标签,现在可用,适合业务
因为它的专业人士,添加区块链技能可以填补你的薪水 - 很多
框添加协作功能,更新App UI
SAP中断导致Revlon课程诉讼
摩根士丹利使用盒子来电源新的数字保险库
Android 11最大的Letdown
伦敦地铁4G计划将导致更广泛的纤维宽带骨干
Microsoft为Windows 10退休日期带来客户
华为和苹果斗争,而三星延长智能手机铅
OFCOM使切换移动运营商更容易
Apple的A14芯片有一个超级大力版本的Macs
区块链和深神经网络显示数字档案承诺
苹果公司于11月10日宣布“再做一件事”
许多报告的问题与本月的Win10累计更新,但几个模式
全球IAAS市场在2018年增长了31%,因为对公共云的企业需求继续飙升
什么是最新的优先级更新?所有的垂直标签,以及更快的启动
研究人员声称Apple的T2 Mac安全芯片可能是脆弱的
Android发射器再次正式令人兴奋
每个企业都需要了解Apple的91亿美元季度
议会委员会要求停止面部识别试验
实施IOT - 克服商业收养的障碍
芬兰全球AI培训计划
苹果在印度:智能车革命怎么样?
Apple表示,对数字健康持怀疑态度是健康的
企业恢复力:iOS,Mac的备份和管理提示
Microsoft Targets与Teams Walkie-Tabie功能的前线工人
AWS现在在云中提供Mac Mini
北欧启动场景可以竞争硅谷
您的位置:首页 >产品 > 商业评论 >

Google强化Chrome的网站隔离,以保护浏览器免受自己的漏洞

2021-09-03 09:44:09 [来源]:

谷歌正在告诉Chrome用户,它已经扩展了一个先进的防御技术,以防止攻击浏览器闪烁渲染引擎中的漏洞。

Chrome 77在9月推出但是由Chrome 78由Chrome 78由Chrome 78收到Chefed-Up网站隔离,Where Alex Moshchuk和ŁukaszAfforowicz,这是两个谷歌软件工程师,在10月17日到一家公司博客。“Chrome 77中的网站隔离现在有助于防御明显强烈的攻击,”两人说。“站点隔离现在可以处理甚至严重攻击,其中渲染过程完全通过安全错误完全损害,例如内存损坏错误或通用跨站点脚本(UXSS)逻辑错误。”

由于标签意味着,Chrome的站点隔离将每个闪烁的渲染引擎流程限制为来自单个网站的文档,从而将所有内容隔离在来自其他网站的呈现网站中。这一想法是,如果恶意网站利用漏洞,控制攻击网站的黑客赢得了“T可以访问任何数据,例如在他们自己的刑事网站之外说出极其有价值的公司数据。

谷歌在2018年中期完全实施网站隔离时(借鉴了一年),通过Chrome 67,该技术的主要目的是在当年早些时候揭示片内漏洞时捍卫光谱风格的攻击。

那个现在改变了。

“假设一个攻击者发现并利用了Chrome的渲染引擎中的内存损坏错误,眨眼,”Moshchuk和Afforowicz说。“错误可能允许它们在沙盒渲染器进程中运行任意本机代码,不再被闪烁中的安全检查限制。然而,Chrome的浏览器进程知道渲染器进程专用于哪些站点,因此它可以限制允许整个过程接收整个过程的cookie,密码和站点数据。这使得攻击者窃取横向网站的数据变得更加困难。“

例如,当渲染器的站点隔离被激活时,Cookie和Passwords只能通过这些进程“锁定”到对应站点的。

有导致扩展站点隔离以覆盖闪烁的渲染过程。“过去的经验表明,未来的Chrome发布中将存在潜在利用的错误,”Google-Led铬团队在文件中承认。“M69,5中的M69,5在M71,13中的M69,5中的渲染器组件中有10个潜在的可利用错误。尽管有多年的开发人员教育,模糊,脆弱性奖励计划等,但这卷的错误稳定稳定。请注意,这仅包括向我们报告或由我们的团队找到的错误。“

M69,M70等是Chrome 69,Chrome 70等的铬标签。

Chrome 77的附加站点隔离能力通过Justin Schuh,原理工程师和Chrome Security的主任,当时,当他发推文时,“......工作正在接受来自受损渲染器的攻击的方式,以去年来到去年

与此同时,施力说,虽然工程师正在为Android上的Chrome锻炼网站隔离,但由于“资源消费问题”,也未完成。消费量是实现现场隔离的主要权衡之一,因为增加流程数增加了浏览器的内存消耗高达13%。

截至Chrome 77,Android版也是体育网站隔离,Moshchuk和Afforowicz在两周前在他们的帖子中说。但是,这项技术不是与桌面个人计算机相同的方式启用。

“与我们隔离所有网站的桌面平台不同,Android上的Chrome使用Slimmer的网站隔离,保护更少的网站,以保持低价,写入Moshchuk和Afforowicz。“仅适用于用户使用密码登录的高价值站点的站点隔离。这保护了具有敏感数据的站点,用户可能会关注银行或购物网站,同时允许在不太关键的网站之间共享过程共享。“

密码触发的网站隔离已打开近乎全部 - 99%,Moshchuk和Afforowicz - 在Android设备上具有至少2GB的系统内存。

有关Chrome的网站隔离 - 更多信息 - 可以在Moshchuk以及两个谷歌同事,查理Reis和Nasko Oskov的纸质中找到,在8月份在年度Usenix安全研讨会上提出。

站点隔离已经 - 或者将被其他浏览器占用。当然,在前者中,挪威浏览器依赖于铬的果实,开源项目,产生技术的开源项目,其中包括铬的开源项目,该功率铬。

2月份,Mozilla表示自己的“项目裂变”将向Firefox添加网站隔离,但没有拼出时间表。自那时起,它不清楚莫扎拉已经取得了什么 - 裂变工程集团的初步时事通讯从未被一个较新的注销 - 但开发人员已经减少了典型过程的内存Firefox,如果网站隔离是“t的必要步骤将浏览器击中具有性能点击。

微软将于2018年延迟将Hymerown浏览器技术丢弃在铬的边缘,几乎肯定会出现位点隔离,当时最终首次亮起所谓的“全铬”边缘的稳定版本。

毫不奇怪,谷歌在现场隔离仍然很热。很热。

“我”在我呼叫网站隔离时,我不会夸大浏览器安全自浏览器安全的单一最大进展,因为沙箱的创建是“谷歌”SChuh在10月17日。“它从根本上改变了浏览器可以提供和设置任何现实世界平台的最强安全基线的保证的种类。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。