브라우저가 Spectre 공격에 취약한 지 확인
- 범주: 보안
웹 브라우저는 최근 공개 된 Spectre 취약점을 표적으로 삼는 공격의 주요 표적입니다. 홈 시스템의 경우 웹 브라우저가 주요 공격 벡터라고 주장 할 수 있습니다. 왜? 브라우저는 원격 사이트에 연결되고 이러한 사이트는 취약점을 악용하기 위해 JavaScript를 실행할 수 있기 때문입니다.
일부 브라우저 제조업체는 패치를 빠르게 푸시했습니다. Mozilla 과 마이크로 소프트 예를 들어 Google과 전체 Chromium 기반 브라우저 그룹은 아직 패치되지 않았습니다.
Chrome 및 Opera 또는 Vivaldi와 같은 기타 Chromium 기반 브라우저에서 문제를 완화하는 방법이 있습니다. 알려진 공격 양식, 사용자 또는 관리자를 완화하려면 웹 브라우저에서 엄격한 사이트 격리를 활성화해야합니다. 그렇게하려면.
확인할 수있는 동안 Windows 운영 체제가 취약한 지 여부 , 지금까지 웹 브라우저가 패치되었거나 취약한 지 확인할 수 없었습니다.
웹 브라우저 Spectre Check
이러한 불확실성은 과거의 일이지만 Tencent의 XUANWU Lab이 온라인 테스트 웹 브라우저가 Spectre에 취약한 지 확인합니다.
시작하려면 실험실 웹 사이트를 방문하세요. 테스트를 실행하기 위해 활성화해야하는 '클릭하여 확인'버튼이 상단에 있습니다.
브라우저를 테스트하는 데 오래 걸리지 않습니다. 일부 검사는 거의 즉시 완료되는 반면 다른 검사는 완료하는 데 더 오래 걸리며 캐시 처리가 포함됩니다.
다음은 테스트 된 브라우저 및 취약성 상태의 빠른 목록입니다 (항상 최신 버전으로 가정).
- Firefox-취약하지 않음
- Firefox ESR-취약하지 않음
- Internet Explorer 11-취약하지 않음
- Microsoft Edge-취약하지 않음
- 창백한 달-취약하지 않음
- Waterfox-취약하지 않음
- Chromium (최신)-취약하지 않음
- Opera Stable-취약하지 않음
- Google Chrome Canary-취약하지 않음
- Google 크롬 안정-취약 *
- 비발디 안정-취약 *
* 웹 브라우저에서 엄격한 사이트 격리를 활성화하면 취약하지 않습니다.
Tencent의 보안 팀은 취약한 결과가 Spectre 기반 공격이 브라우저에서 작동한다는 것을 의미합니다. 그러나 취약하지 않은 상태가 반드시 브라우저가 적절하게 보호된다는 것을 의미하지는 않습니다. 알려진 공격으로부터 보호되지만 여전히 문제를 악용 할 수있는 알려지지 않은 공격 방법이 존재할 수 있습니다. 팀은 향후 도구를 개선 할 것을 약속합니다.
업데이트 : Opera는 다음과 같은 수정 사항에 대해 저에게 연락했습니다. Strict Site Isolation은 Meltdown을 완화하지만 Spectre는 완화하지 않습니다. 이 회사는 Spectre를 완화하기 위해 Opera에서 Shared Array Buffer를 비활성화했습니다. 사용자가 Opera를 테스트하는 동안 그렇게했으며 일부 사용자는 Opera가 취약하지 않다는 것을 발견하고 다른 사용자는 취약하다는 것을 발견 한 이유를 설명합니다. 변경 후 브라우저를 다시 시작해야 적용됩니다.
마무리 단어
브라우저가 테스트에서 취약하지 않은 것으로 테스트 한 후에도 약간의 불확실성이 남아 있지만 알려진 공격이 취약점을 악용 할 수 없다는 것은 여전히 안심입니다. 잠재적 인 공격에 대한 좋은 방어는 일반적으로 JavaScript 또는 스크립트를 비활성화하는 것입니다. 그러나 이것은 웹의 유용성을 떨어 뜨립니다.
이제 당신 : 브라우저가 취약합니까? (통하다 태어난 )