Eng Grupp vu Fuerscher vun amerikaneschen, australeschen an israeleschen Universitéiten hunn eng nei Säit-Kanal Attack Technik proposéiert fir Specter-Klass Schwachstelle a Browser op Basis vum Chromium-Motor auszenotzen. D'Attack, Codename Spook.js, erlaabt Iech de Site Isolatiounsmechanismus ze ëmgoen andeems Dir JavaScript Code leeft an den Inhalt vum ganze Adressraum vum aktuelle Prozess liest, d.h. Zougang zu Daten vu Säiten déi an anere Tabs lafen, awer am selwechte Prozess veraarbecht.
Zënter datt Chrome verschidde Site a verschiddene Prozesser leeft, ass d'Fäegkeet fir praktesch Attacken auszeféieren limitéiert op Servicer déi verschidde Benotzer erlaben hir Säiten ze hosten. D'Method erlaabt, vun enger Säit an där den Ugräifer d'Méiglechkeet huet säi JavaScript Code z'integréieren, d'Präsenz vun anere Säiten ze bestëmmen, déi vum Benotzer vun der selwechter Säit opgemaach goufen a vertraulech Informatioun vun hinnen extrahéieren, zum Beispill Umeldungsinformatiounen oder Bankdetailer ersat. vum System vun Auto-Füllfelder a Webformulairen. Als Demonstratioun gëtt et gewisen wéi Dir de Blog vun engem aneren am Tumblr Service attackéiere kënnt wann säi Besëtzer en Ugräifer Blog opmaacht, deen am selwechte Service an enger anerer Tab gehost gëtt.
Eng aner Optioun fir d'Method ze benotzen ass en Attack op Browser-Add-ons, wat et erlaabt, wann Dir en Add-on installéiert, deen vum Ugräifer kontrolléiert gëtt, Daten aus aneren Add-ons extrahéieren. Als Beispill weisen mir wéi Dir e béiswëllegen Add-on installéiert kënnt Dir vertraulech Informatioun aus dem LastPass Passwuertmanager extrahéieren.
Fuerscher hunn e Prototyp vun engem Exploit publizéiert deen am Chrome 89 op Systemer mat engem CPUIntel i7-6700K an i7-7600U funktionnéiert. Wann Dir den Exploit erstellt, goufen Prototypen vum JavaScript Code virdru vu Google publizéiert fir Specter-Klass Attacken auszeféieren. Et gëtt bemierkt datt d'Fuerscher fäeg sinn Aarbechtsexploiten fir Systemer op Basis vun Intel an Apple M1 Prozessoren virzebereeden, déi et méiglech maachen Erënnerungsliesen mat enger Geschwindegkeet vu 500 Bytes pro Sekonn an enger Genauegkeet vun 96% ze organiséieren. Et gëtt ugeholl datt d'Methode och fir AMD Prozessoren applicabel ass, awer et war net méiglech e voll funktionnellen Ausbeutung ze preparéieren.
D'Attack ass applicabel fir all Browser baséiert op dem Chromium-Motor, dorënner Google Chrome, Microsoft Edge a Brave. D'Fuerscher gleewen och datt d'Method adaptéiert ka ginn fir mat Firefox ze schaffen, awer well de Firefox-Motor ganz anescht wéi Chrome ass, ass d'Aarbecht fir sou en Exploit ze kreéieren fir d'Zukunft verlooss.
Fir géint Browser-baséiert Attacken am Zesummenhang mat der spekulativer Ausféierung vun Instruktiounen ze schützen, implementéiert Chrome Adressraum Segmentatioun - Sandbox Isolatioun erlaabt JavaScript nëmme mat 32-Bit Pointer ze schaffen an deelt d'Erënnerung vun Handler an disjoint 4GB Heapen. Fir Zougang zum ganze Prozessadressraum ze bidden an d'32-Bit-Begrenzung z'iwwergoen, hunn d'Fuerscher eng Technik genannt Type Confusion benotzt, déi de JavaScript-Motor forcéiert en Objet mat engem falschen Typ ze veraarbechten, wat et méiglech mécht e 64-Bit ze bilden Pointer baséiert op enger Kombinatioun vun zwee 32-Bit Wäerter.
D'Essenz vum Attack ass datt wann Dir e speziell entworfene béiswëllegen Objet am JavaScript-Motor veraarbecht, Konditioune erstallt ginn, déi zu spekulativ Ausféierung vun Instruktiounen féieren, déi op d'Array kommen. Den Objet gëtt esou ausgewielt datt d'Attacker-kontrolléiert Felder an der Géigend plazéiert sinn, wou de 64-Bit Pointer benotzt gëtt. Zënter datt d'Aart vum béiswëllegen Objet net mat der Aart vun der Array entsprécht, déi veraarbecht gëtt, ginn ënner normale Bedéngungen esou Aktiounen am Chrome blockéiert duerch e Mechanismus fir de Code ze deoptiméieren deen benotzt gëtt fir Zougang zu Arrays ze kréien. Fir dëse Problem ze léisen, gëtt de Code fir den Typ Confusion Attack an e bedingte "wann" Block gesat, deen net ënner normalen Bedéngungen aktivéiert gëtt, awer am spekulative Modus ausgefouert gëtt, wann de Prozessor falsch weider Verzweigung virausgesot.
Als Resultat, kritt de Prozessor spekulativ Zougang zu de generéierten 64-Bit Pointer a rullt de Staat zréck nodeems eng gescheitert Prognose festgeluecht gouf, awer d'Spure vun der Ausféierung bleiwen am gemeinsame Cache a kënne restauréiert ginn mat Side-Channel Cache Detektiounsmethoden, déi Ännerungen am analyséieren. Zougang Zäiten op cache an uncached Donnéeën. Fir den Inhalt vum Cache an Konditioune vun net genuch Genauegkeet vum Timer, deen am JavaScript verfügbar ass, ze analyséieren, gëtt eng vu Google proposéiert Method benotzt, déi d'Tree-PLRU Cache Eviction Strategie, déi a Prozessoren benotzt gëtt, täuscht an erlaabt, andeems d'Zuel vun den Zyklen eropgeet. erhéicht den Ënnerscheed an der Zäit wesentlech wann e Wäert präsent ass a fehlt am Cache. .
Source: opennet.ru