Inmitten der panischen Reaktion in dieser Woche auf die Nachricht von bedeutenden, wenn auch noch nicht ausgenutzten Schwachstellen in der riesigen Masse der Mikroprozessoren der Welt, ist es fast unbemerkt geblieben, dass die meisten Browserhersteller mit der Aktualisierung ihrer Produkte reagierten, in der Hoffnung, mögliche webbasierte Angriffe abzuwehren.
Die von Google gesteuerten Enthüllungen – es waren Mitglieder des Project Zero-Sicherheitsteams der Suchfirma, die die zahlreichen Fehler in den von Intel, AMD und ARM entwickelten Prozessoren identifizierten – sollten nächste Woche, am 9. Januar, dem Patch-Dienstag dieses Monats, veröffentlicht werden. Zu dieser Zeit war eine koordinierte Anstrengung mehrerer Hersteller, von OS-Entwicklern bis hin zu Silizium-Herstellern, mit Patches zu beginnen, um Systeme gegen Fehler zu schützen, die unter den Dachbegriffen Meltdown und Spectre zusammengefasst waren, da dies am besten ohne Austausch der CPU selbst möglich war. Dieser Plan ging aus dem Fenster, als Anfang der Woche Lecks im Umlauf waren.
Während die wichtigsten bisher vertriebenen Fixes von Chipherstellern und Betriebssystemherstellern stammen, haben auch Browser-Entwickler ihre Anwendungen aktualisiert. Das liegt daran, dass Spectre von Kriminellen genutzt werden kann, die JavaScript-Angriffscode auf von Hackern betriebenen oder gefährdeten Websites verwenden.
Laut einer Gruppe unabhängiger und akademischer Forscher können „Spectre-Angriffe auch dazu benutzt werden, das Browser-Sandboxing zu verletzen, indem man sie über portablen JavaScript-Code einbindet“. Die Forscher schrieben auch einen Proof-of-Concept, der demonstrierte, wie ein Angreifer mit JavaScript den Adressraum eines Chrome-Prozesses – also einen offenen Tab – lesen konnte, um z.B. die soeben eingegebenen Zugangsdaten zu sammeln.
Einige der größten Browsernamen haben bereits Updates erstellt und verteilt, um die Anwendungen – und die Daten auf dem Gerät – vor möglichen Spectre-Angriffen zu schützen, obwohl ab sofort Patches für Apples Safari unerlaubt bleiben.
Google Chrome
Google hat Chrome für Windows, MacOS und Linux vor etwa einem Monat auf die Version 63 aktualisiert und in dieser Version eine neue Sicherheitstechnologie namens „Site Isolation“ eingeführt. Diese Woche forderte Google seine Kunden auf, die Funktion – sie ist in Chrome 63 standardmäßig deaktiviert – zu aktivieren, um sich besser gegen Spectre-Angriffe zu schützen.
Die Website-Isolierung war ein Fortschritt gegenüber den bereits in Chrome vorhandenen Prozesszuweisungen und wurde entwickelt, um Remote-Code, der in Chrome’s Sandbox ausgeführt wird, daran zu hindern, den Inhalt anderer Registerkarten zu manipulieren. Die Implikation war, dass die Isolierung Angreifer daran hindern würde, Spectre auszunutzen, um In-Memory-Daten aus dem adressierbaren Speicher eines nicht aktiven Tabs zu holen.
Google wird weitere Anti-Spectre-Verteidigungen in Chrome 64 hinzufügen, die für die Woche vom 21. bis 27. Januar geplant sind. Unter diesen zusätzlichen Abschwächungen hob Google Änderungen an Chrome’s JavaScript-Engine, V8, hervor. Andere, unbenannte Schritte werden mit späteren Chrome-Upgrades unternommen, die von Google versprochen wurden.
Ab Freitag wendete Google die gleichen Techniken wie andere Browserhersteller, einschließlich Microsoft und Mozilla, auf Chrome an und sagte, dass sie „eine vorübergehende Maßnahme sind, bis andere Abschwächungen vorhanden sind“. Am 5. Januar deaktivierte Chrome das SharedArrayBuffer JavaScript-Objekt und änderte das Verhalten der performance.now-API (Application Programming Interface), um die Wirksamkeit von Spectre-Angriffen zu reduzieren.
Internet Explorer und Edge
Microsoft hat diese Woche Updates für Internet Explorer (IE) und Edge für Windows 10 sowie IE-Patches für Windows 7 und Windows 8.1 veröffentlicht. Diese Updates können in Form des üblichen Security Monthly Quality Rollup für Windows 7/8.1 oder des Security Only Quality Updates für die gleichen Versionen heruntergeladen werden.
Microsoft unternahm die gleichen Schritte wie andere Browserhersteller – der Aufwand war klar koordiniert – einschließlich Chrome. „Zunächst entfernen wir die Unterstützung für SharedArrayBuffer von Microsoft Edge (ursprünglich eingeführt im Windows 10 Fall Creators Update) und reduzieren die Auflösung von performance.now in Microsoft Edge und Internet Explorer“, schrieb John Hazen, ein leitender Programm-Manager mit dem Edge-Team, in einem Beitrag zu einem Firmen-Blog.
„Diese beiden Änderungen erhöhen die Schwierigkeit, den Inhalt des CPU-Cache erfolgreich aus einem Browser-Prozess abzuleiten“, fügte Hazen hinzu.
Mozillas Firefox
Mozilla hat seinen Browser am Donnerstag auf die Version 57.0.4 mit den gleichen zwei Einschränkungen wie andere Browser-Entwickler aktualisiert.
„Da diese neue Klasse von Angriffen die Messung präziser Zeitintervalle beinhaltet, deaktivieren oder reduzieren wir die Genauigkeit mehrerer Zeitquellen in Firefox“, sagte Luke Wagner, ein Mozilla-Softwareingenieur, in einem Blogbeitrag am Dienstag. „Dies beinhaltet sowohl explizite Quellen, wie performance.now, als auch implizite Quellen, die es erlauben, hochauflösende Timer zu erstellen, nämlich SharedArrayBuffer.“
Mozilla hat letzteres in Firefox deaktiviert und die Auflösung – das kleinste diskrete Bit, mit anderen Worten – der performance.now-API auf 20 Mikrosekunden reduziert. (Microsoft hat das gleiche mit IE und Edge gemacht, als es die Auflösung der API von 5 Mikrosekunden auf 20 Mikrosekunden reduzierte.
Der Firefox ESR (Extended Support Release) Zweig wird nicht vor dem 23. Januar aktualisiert werden, um die reduzierte Auflösung von performance.now, sagte Mozilla. Firefox ESR richtet sich an Unternehmen, die eine Version bevorzugen, die für jeweils ein Jahr unverändert bleibt, mit Ausnahme von Sicherheitsupdates.
Apple-Safari
Während Apple behauptete, dass im Dezember 2017 Updates für MacOS und iOS Abwehrmaßnahmen zur Verteidigung gegen Meltdown einführten, wurden die Spectre-Schwachstellen mit Safari-Updates am Samstag, den 6. Januar, nicht behoben.
„Apple wird in den kommenden Tagen ein Update für Safari auf MacOS und iOS veröffentlichen, um diese Exploit-Techniken abzuschwächen“, sagte Apple in einem am Freitag veröffentlichten Support-Dokument.
Apple hat die für seinen Webbrowser geplanten Abschwächungen nicht beschrieben, aber sie werden mit ziemlicher Sicherheit die Deaktivierung von SharedArrayBuffer und eine reduzierte Auflösung für die performance.now-API, die beiden Schritte, die von konkurrierenden Browsern unternommen werden, beinhalten.