Los expertos de Google publicaron un exploit PoC para Spectre dirigido a navegadores

Google PoC exploit for Specter

ingenieros de google publicado un exploit PoC para demostrar la efectividad del uso de la vulnerabilidad Spectre en los navegadores para acceder a información en la memoria.

Se informa que este exploit PoC funciona con una amplia gama de arquitecturas, sistemas operativos, y generaciones de hardware. Demuestra en la práctica que los mecanismos de protección que los desarrolladores han agregado a sus navegadores (por ejemplo, aislamiento del sitio, Origen cruzado, Bloqueo de lectura entre orígenes, etcétera) en realidad no trabajo.

Como recordatorio, el número original de Spectre (CVE-2017-5753) fue descubierto en 2018 junto con el error Meltdown. Estos defectos fundamentales en la arquitectura de los procesadores modernos facilitan romper el aislamiento del espacio de direcciones., leer contraseñas, claves de cifrado, números de tarjetas bancarias, datos arbitrarios del sistema y otras aplicaciones de usuario sin pasar por ninguna medida de seguridad y en cualquier sistema operativo.

Hoy compartimos un código de prueba de concepto que valida la efectividad del uso de las vulnerabilidades de Spectre contra motores JavaScript.. Usamos Google Chrome para demostrar nuestro ataque., pero estos problemas no son específicos de Chrome, y creemos que otros navegadores modernos también son vulnerables a este vector de explotación..Los expertos de Google escriben.

Los expertos crearon una demostración interactiva especial del ataque a la página.con fugas sitio web, y también publicó una descripción detallada de su trabajo en GitHub.

A continuación puede ver un vídeo que muestra un ataque exitoso de explotación de Google en una máquina basada en Intel i7-6500U que ejecuta Ubuntu con Chrome. 88 a bordo.

Google cree que los desarrolladores deberían utilizar nuevos mecanismos de seguridad para protegerse contra Spectre y otros ataques entre sitios. Además de las protecciones estándar como Opciones de tipo de contenido X y Opciones de X-Frame, Google recomienda usar:

Además, Los ingenieros de Google han creado una extensión para Chrome llamada Espectroscopio, lo que debería ayudar a los profesionales y desarrolladores de seguridad de la información a proteger sus sitios de Spectre. La extensión escanea aplicaciones web en busca de recursos donde se puedan habilitar protecciones adicionales..

Tenga en cuenta que a principios de este mes, El especialista francés en ciberseguridad Julien Voisin descubierto en VirusTotal «combate» exploits para la vulnerabilidad Spectre dirigida a Windows y Linux.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *