浏览器制造商将Bulwark构建到树桩幽灵攻击
Suiteworld 2019:利用技术关闭金融性别差距
Android P会导致升级更快吗?要记住3个字
东盟数据中心提供者必须搞定他们的游戏
近四分之一的科技公司没有安全检查产品
这个小型iOS 12功能是整个行业的诞生
Qumulo升级混合闪存混合云C系列与C-72T
员工缺乏对公司数据分享政策的认识
3个巨大方式Android的手势导航才变得更好
靴子任命前NHS IT执行局作为创新董事
Buggy Win10 1709累计更新KB 4074588 Redlining,Bluescreening,Borking USB
警告Mac Malware漏洞攀升270%
Android P是为什么OS更新仍然重要的一个完美示例
数字时代所需的身份监护人
Kubernetes的第五年是如何导致企业转变的
解决区块链概念:生物识别可以恢复丢失的加密密钥
ICO支持GDPR认证计划
迁移到云原生将驱动服务繁荣
互联网观察基金会在战争中提高了在线儿童色情
无线充电状态:2018年及以后
HMRC对IR35在线状态检查工具的辩护作用作响“气候变化拒绝”
关于微软,关于放缓的警告 - 和防病毒证明至关重要
消费者仍然很重要,因为荷兰卫星先驱地图B2B未来
Laing O'Rourke澳大利亚选择私人云路线
Mastercard,B2B Fintech网络上的Microsoft合作伙伴可以节省数十亿
大多数企业易受供应链网络攻击的影响
数字法庭系统到达了第一项主要里程碑
监控摄像机的安全标准设置为发射
Firefox调用它退出陈旧的Windows XP,Vista
Microsoft释放Exchange 2019的预览,其他办事处2019年服务器
广泛采用数字ID可以提高经济增长
Mingis关于Tech:Apple最新的iOS医疗保健推动
Android升级报告卡:在奥利奥的制造商进行评分
超额宽带在“大多数”家庭范围内
Chrome 68在Windows 10中获取本机的通知
Mingis关于Tech:所有关于Android Security
高速公路英国试验自驾车的道路
Apac为BlockChain Boom设置
2月份补丁带来了不祥的展望修复和KB 2952664的重生
微软的表面中心2将团队合作核对
Microsoft停止推动越野车Win7补丁KB 4088875,希望作为猛烈的前身
伦敦救护车服务试验实时访问患者数据
运输部推出城市移动计划的未来
荷兰语讲师研究了网络犯罪背后的人
松弛拥有与Astro采集的电子邮件
GDPR案例为北欧稳压器提供更大的预算
LG的“软件升级中心”略微太熟悉
花区技术支出将今年加倍到2.1亿美元
保险公司Tokio Marine HCC Overhauls遗产系统
Gartner:转向公共云遏制数据中心支出
您的位置:首页 >产品 > 电子产品 >

浏览器制造商将Bulwark构建到树桩幽灵攻击

2021-08-26 12:44:19 [来源]:

在这一周的恐慌回复中,这是一个重要的,虽然未被剥削,漏洞,但在世界上巨大的微处理器中的漏洞,但它几乎没有注意到大多数浏览器制造商通过更新他们的商品,以抵消抵消可能的基于Web的攻击。

谷歌驱动的启示 - 它是搜索公司的项目零安全团队,他们确定了由英特尔,AMD和ARM设计的处理器中的多个缺陷 - 下周在本月9日下周公开修补周二。此时,从OS开发人员到硅制造商的多个供应商的协调努力是通过补丁来亮相以保护,尽可能最好地完成,而无需更换CPU本身,在抵消和幽灵伞下分组的缺陷的系统。当泄漏开始本周早些时候泄漏时,该计划出去了窗外。

[进一步阅读:iOS 11如何使移动管理更容易]

虽然到目前为止分布的最重要的修复来自芯片制造商和操作系统供应商,但浏览器开发人员还更新了他们的应用程序。因为幽灵可以在黑客运行或受损站点上发布的JavaScript攻击代码来利用幽灵。

根据一群独立和学术研究人员,“幽灵攻击也可以通过通过便携式的JavaScript代码安装它们来违反浏览器沙箱。”研究人员还写了一个概念证明,演示了攻击者如何使用JavaScript来阅读Chrome进程的地址空间 - 换句话说,一个打开的选项卡 - 刚刚输入的网站凭据。

一些最大的浏览器名称已经创建和分发了旨在保护应用程序的更新 - 以及设备上的数据 - 从潜在的幽灵攻击,虽然截至目前,Apple“S Safari的补丁”仍然是Awol。

谷歌浏览器

Google更新了Windows,MacOS和Linux的Chrome大约一个月前的版本63,并在该版本中首次推出了新的安全技术,称为“网站隔离”。本周,谷歌呼吁客户启用该功能 - 默认在Chrome 63中默认为OFF - 更好地防御幽灵攻击。

德格

Chrome 63中的站点隔离可以通过在Chrome://标志/#enable-site-percoup-sit-percoup中启用标志来打开

[评论这个故事,请访问Computerworld的Facebook页面。]

站点隔离是从in-in-chrome旁白工艺分配的加速,旨在阻止在Chrome的Sandbox中执行的远程代码,从操纵其他选项卡的内容。含义是隔离将阻止攻击者利用幽灵抓取在非活动选项卡的可寻址存储器中抓取内存数据。

可以通过在Chrome://标志/#enable-site-percount-percoup-percound-percoup中启用一个标志来切换站点隔离;企业IT管理器可以通过Windows“组策略来启用和管理选项。有关后者的更多信息,可以在此Chrome支持页面上找到。

谷歌将在Chrome 64中增加更多的反幽灵防御,Slated将于1月21日至27日的一周发货。在这些额外的缓解中,Google突出显示了对Chrome的JavaScript引擎V8的修改。谷歌承诺,其他,未命名的步骤将采取以后的铬升级。

从星期五开始,谷歌还将与其他浏览器制造商相同的技术,包括微软和Mozilla,以镀铬,称它们是“直到其他减轻到位的临时措施”。1月5日,Chrome禁用了SharedArrayBuffer JavaScript对象,并更改了Performance.now API(应用程序编程接口)的行为,以降低幽灵攻击的功效。

Internet Explorer和Edge

Microsoft为Windows 10的Internet Explorer(IE)和Edge的更新以及本周Windows 7和Windows 8.1的修补程序。这些更新可以以通常的安全性每月质量汇总的形式下载,适用于Windows 7/8.1或同一版本的仅安全性的省份。

笔记:只能使用Windows Server Update Services(WSUS)或手动从Microsoft Update Catalog检索安全性usitual更新。

微软与其他浏览器制造商采取了同样的步骤 - 努力显然协调 - 包括铬。“最初,我们正在删除来自Microsoft Edge的SharedArrayBuffer(最初在Windows 10跌倒创建者更新中介绍),并减少了Microsoft Edge和Internet Explorer的Performance的分辨率,”John Hazen是一个主要的领导程序经理边缘团队,在一家帖子中写给公司博客。

“这两个变化大大增加了成功推断CPU高速缓存内容的难度从浏览器过程中,”Hazen添加。

Mozilla的Firefox

Mozilla星期四将其浏览器更新为57.0.4版,其两个减轻与其他浏览器开发人员相同。

“由于这类新的攻击涉及测量精确的时间间隔,作为部分,短期减轻我们正在禁用或减少Firefox的几个时间来源的精度,”莫萨拉软件工程师,博客文章说周二。“这包括显式源,如performance.now和允许构建高分辨率计时器,viz的隐式源。,sharedarraybuffer。”

Mozilla在Firefox中禁用了后者,并减少了分辨率 - 换句话说,即将到20微秒的最小离散位。(微软与IE和EDGE相同,当它将API的分辨率从5微秒减少到20微秒时。)

Mozilla表示,Firefox ESR(扩展支持版本)分支机构赢得了“T才能更新至1月23日。Firefox ESR的目标是在安全更新之外,举行一个不变的版本的组织,一次一年。

Apple“S Safari

虽然Apple被声称2017年12月,摩洛斯和IOS的更新提出了帮助抵御崩溃的防御措施,但幽灵脆弱性尚未通过截至1月6日星期六的Safari更新来解决。

“Apple将在未来几天发布麦克斯和iOS上的Safari更新,以减轻这些利用技术,”Apple在周五发布的支持文件中表示。

Apple没有拼出计划为其Web浏览器计划的缓解,但它们几乎肯定会包括禁用SharedArrayBuffer,并降低Performance.now API,竞争浏览器采取的两个步骤。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。