Google zeigt Proof-of-Concept für Spectre-Angriffe

Google hat Beispielcode für einen Angriff auf die Spectre-Sicherheitslücken in Prozessoren veröffentlicht. Er soll zeigen, dass solche Attacken praktikabel sind und welche Gefahr von Ihnen ausgeht. Der Proof-of-Concept richtet sich gegen die JavaScript-Engine eines Browsers, mit dem Ziel, Daten aus dem Arbeitsspeicher auszulesen.

2018 hatte Google zwei Varianten der Spectre-Seitenkanal-Angriffe beschrieben. Die Variante 1 nahm JavaScript in Browsern ins Visier. Die als CVE-2017-5753 bezeichnete Sicherheitslücke in Prozessoren steckt in der als spekulative Ausführung bekannten Funktion, die eigentlich die Leistung von Prozessoren erhöhen soll. Sie erlaubt es unter Umständen aber auch, dass eine schädliche Websites vertrauliche Daten wie Passwörter abgreift.

Webentwicklern stellt Google nun eine Demo eines Spectre-Angriffs auf der Website leaky.page zur Verfügung. Ein Video der Attacke ist zudem auf Youtube erhältlich und alle technischen Details fasst Google auf GitHub zusammen.

Google möchte Entwicklern von Web-Anwendungen vermitteln, wie wichtig ist es, Vorkehrungen gegen Spectre-Angriffe auf Anwendungsebene zu integrieren. Google betonte zudem, dass der für einen Skylake-Prozessor von Intel und Chrome 88 unter Linux entwickelte Beispielcode auch auf andere CPUs, Browser und Betriebssystem übertragbar sei. Mit geringen Anpassungen sei er auch auf Apples M1-Prozessor erfolgreich.

“Die Web-Plattform verlässt sich auf den Ursprung als grundlegende Sicherheitsgrenze, und die Browser leisten ziemlich gute Arbeit, wenn es darum geht, explizite Datenlecks von einem Ursprung zum anderen zu verhindern”, erklärte der Google-Mitarbeiter Mike West. “Angriffe wie Spectre zeigen jedoch, dass wir noch viel Arbeit vor uns haben, um implizite Datenlecks zu minimieren. Die Seitenkanäle, die durch diese Angriffe ausgenutzt werden, beweisen, dass Angreifer alle Daten lesen können, die in einen Prozess gelangen, der den Code des Angreifers hostet. Diese Angriffe sind heute recht praktikabel und stellen ein echtes Risiko für Benutzer dar.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Fehlende Subventionen: Intel verschiebt Baubeginn seiner Chipfabrik in Ohio

Der US-Kongress streitet weiterhin über Details eines 52 Milliarden Dollar schweren Subventionspakets. Am Zeitplan für…

1 Tag ago

Microsoft informiert Nutzer von Windows 8.1 über nahendes Support-Ende

Ab Juli blendet das OS Benachrichtigungen ein. Der Support endet am 10. Januar 2023. Windows…

1 Tag ago

Graphcore und Aleph Alpha entwickeln gemeinsam multimodale KI-Modelle

Graphcore will bis 2024 den weltweit ersten ultraintelligenten KI-Computer bereitstellen.

2 Tagen ago

Apple führt mit iOS 16 Alternative zu CAPTCHA-Tests ein

Die sogenannten Private Access Tokens nutzen bereits auf einem Gerät vorhandene Daten. An der Entwicklung…

2 Tagen ago

Öffentliche und private Investitionen in Quantentechnologien steigen

McKinsey: Erste Profiteure der rasanten QT-Entwicklung sind voraussichtlich die Pharma-, Chemie-, Automobil- und Finanzindustrie.

2 Tagen ago

Was uns die Physik über datengetriebenes Marketing verrät

Datengetriebene Technologien wie Predictive Analytics eröffnen im digitalen Marketing neue Möglichkeiten, sagt PwC-Marketing-Experte Mathias Elsässer…

2 Tagen ago