Google ha pubblicato recentemente un codice JavaScript proof-of-concept (PoC) per dimostrare l’utilizzo di exploit che sfruttano la vulnerabilità nota come Spectre che potenzialmente potrebbe portare eventuali malintenzionati a ricavare dati sensibili tramite il browser. In particolare, è stata creata una demo interattiva su leaky.page, mentre un articolo su GitHub spiega nel dettaglio il suo funzionamento, al fine di aiutare nello sviluppo di patch e soluzioni.
Come probabilmente già saprete però Spectre non è completamente eliminabile, dato che è legato all’hardware del processore, quindi può essere usato indipendentemente dal sistema operativo impiegato, anche su diverse architetture e generazioni di CPU.
Dalla sua scoperta, gli sviluppatori di OS e programmi hanno fatto in modo di ovviare in parte al problema, ad esempio implementando meccanismi di sicurezza come il Site Isolation, out-of-process iframes, Cross-Origin Read Blocking per spostare le parti di memoria dove sono presenti dati importanti. Infatti, Spectre, se correttamente sfruttato, può portare alla scoperta di password, documenti e qualsiasi altro dato sensibile presente nella memoria protetta.
Google consiglia di utilizzare inoltre altri sistemi per mitigare gli attacchi Spectre, come Cross-Origin Resource Policy (CORP) e Fetch Metadata Request Headers, così da controllare quali siti possono incorporare le proprie risorse, Cross-Origin Opener Policy (COOP) e Cross-Origin Embedded Policy (COEP). Inoltre, il team di sicurezza del gigante del web ha creato un’utile estensione per Chrome, chiamata Spectroscope, per aiutare gli sviluppatori a proteggere i siti web da attacchi Spectre. Spectroscope analizza le app Web alla ricerca di eventuali vulnerabilità che potrebbero essere sfruttate da attacchi Spectre.
Articolo Precedente
Windows 10, sistema in crash dopo l’ultimo aggiornamento? Ecco come risolvere
Articolo Successivo
Huawei MatePad T10S, tablet di fascia media in offerta su Amazon con sconto del 30%
