Prozessor-Bug: Browser-Hersteller reagieren auf Meltdown und Spectre
In Chrome lässt sich eine Option aktivieren, die das Risiko der Prozessor-Sicherheitslücke verringern soll. Mozilla hat ebenfalls Maßnahmen angekündigt, die die Auswirkungen der Lücke abmildern sollen.
Als Reaktion auf die schwerwiegende Prozesor-Sicherheitslücke, für die es bereits Angriffsszenarien gibt, haben nun Google und Mozilla für ihre Browser erste Gegenmaßnahmen angekündigt. Nutzern von Chromium (und damit Chrome) wird geraten, die Option "Website-Isolierung" zu aktivieren. Dazu muss man chrome://flags/#enable-site-per-process in die Adressleiste eingeben und hinter "Strict site isolation" auf den Button "Aktivieren" klicken. Ist diese Option aktiv, rendert Chrome den Inhalt jeder geöffneten Website in einem eigenen Prozess, was es Angreifern erschweren soll, das Sicherheitsproblem auszunutzen.
In Unternehmen, die ihre Chrome-Installationen zentral administrieren, lässt sich diese Option auch vom Administrator für alle Chrome-Instanzen setzen. Ab Chrome-Version 64, die Ende Januar erscheinen soll, soll auch die JavaScript-Engine V8 selbst weitere Maßnahmen gegen die Bugs ergreifen. Der Blog-Beitrag des Chromium-Teams enthält auch Maßnahmen, mit denen Website-Betreiber die Sicherheit ihrer Besucher erhöhen können.
Mozilla arbeitet nach eigenen Angaben ebenfalls an Sofortmaßnahmen. Da die neuen Angriffe eine genaue Zeitmessung erfordern, wird die Genauigkeit von Zeitquellen in Firefox herabgesetzt. Im einzelnen wird die JavaScript-Methode performance.now() die Zeit nur noch auf 20µs genau angeben, SharedArrayBuffer wird deaktiviert. Diese Maßnahmen sollen in allen Release Channels von Firefox veröffentlicht werden, angefangen bei der aktuellen Version 57 des Browsers.
Die Entwickler von Chromium und von Mozilla betonen, dass es sich bei ihren Reaktionen um SchnellschĂĽsse handelt, die das Risiko allenfalls ein wenig abmildern.
Update 5.1.: Firefox, Edge, Internet Explorer
Über Nacht haben die Mozilla-Entwickler Firefox 57.0.4 mit den Sicherheitsupdates herausgebracht. Microsoft hat ebenfalls bereits einen Patch für seine Browser Edge und Internet Explorer veröffentlicht. Er soll automatisch per Windows-Update installiert werden. (jo)