FERRAMENTAS LINUX: O Google publica o "Leaky.Page" mostrando o spectre em ação nos navegadores da web

domingo, 14 de março de 2021

O Google publica o "Leaky.Page" mostrando o spectre em ação nos navegadores da web

 

Confira !!

O Google publicou seu código de prova de conceito mostrando a praticidade das explorações do Spectre nos motores JavaScript dos navegadores da web modernos. O código está disponível e você pode até mesmo experimentá-lo no site leaky.page .

O código Leaky.Page do Google mostra que é possível vazar dados em torno de 1kB / s ao executar o navegador Chrome em uma CPU Skylake. O código de prova de conceito é fornecido para as CPUs Intel Skylake, embora também deva funcionar para outros processadores e navegadores com pequenas modificações no JavaScript. O Google também teve sucesso em executar este ataque Leaky.Page em CPUs Apple M1 ARM sem grandes mudanças.

O Google também fez um protótipo de código capaz de vazar dados a uma taxa de 8kB / s, mas com estabilidade inferior. Por outro lado, eles têm código de prova de conceito usando timers JavaScript que podem vazar a 60B / s.


O Leaky.Page PoC do Google é um gadget  do Spectre V1 que é um array JavaScript que é acessado especulativamente fora dos limites. Enquanto o gadget V1 pode ser mitigado no nível do software, a equipe V8 do Chrome determinou que outros gadgets, como o Specter Variant 4, são "simplesmente inviáveis ​​em software" para mitigar.

Mais detalhes sobre as últimas descobertas de Spectre do Google por meio do Blog de segurança do Google . O código Spectre de prova de conceito pode ser encontrado em leaky.page .

Enquanto isso, esta semana, o W3C publicou um rascunho do editor de recomendações para desenvolvedores da web sobre o  Spectre .






Fonte

Até a próxima !1

Nenhum comentário:

Postar um comentário