Principal Google Chrome Sécuriser Google Chrome contre les vulnérabilités Meltdown et Spectre

Sécuriser Google Chrome contre les vulnérabilités Meltdown et Spectre



Comme vous le savez peut-être déjà, tous les processeurs Intel sortis au cours de la dernière décennie sont affectés par un problème grave. Un code spécialement malformé peut être utilisé pour voler les données privées de tout autre processus, y compris les données sensibles telles que les mots de passe, les clés de sécurité, etc. Même un navigateur avec JavaScript activé peut être utilisé comme vecteur d'attaque. Si vous êtes un utilisateur de Google Chrome / Chromium, vous pouvez effectuer les opérations suivantes.

Publicité


Si vous n'êtes pas au courant des vulnérabilités Meltdown et Spectre, nous les avons couvertes en détail dans ces deux articles:

  • Microsoft déploie un correctif d'urgence pour les failles du processeur Meltdown et Spectre
  • Voici les correctifs de Windows 7 et 8.1 pour les failles du processeur Meltdown et Spectre

En bref, les vulnérabilités Meltdown et Spectre permettent à un processus de lire les données privées de tout autre processus, même de l'extérieur d'une machine virtuelle. Cela est possible grâce à l'implémentation d'Intel de la manière dont leurs processeurs prélèvent les données. Cela ne peut pas être résolu en appliquant uniquement des correctifs au système d'exploitation. Le correctif implique la mise à jour du noyau du système d'exploitation, ainsi qu'une mise à jour du microcode du processeur et peut-être même une mise à jour UEFI / BIOS / micrologiciel pour certains périphériques, afin d'atténuer complètement les exploits.

L'attaque peut être effectuée uniquement avec JavaScript à l'aide d'un navigateur.

Aujourd'hui, une nouvelle version de Google Chrome est sortie. Chrome 63.0.3239.132 est livré avec un certain nombre de correctifs de sécurité, mais il n'inclut aucun correctif spécial pour les vulnérabilités Meltdown et Spectre. Vous pouvez activer manuellement l'isolation complète du site pour vous protéger contre les vulnérabilités mentionnées.

Qu'est-ce que l'isolement complet du site

L'isolation de site est une fonctionnalité de sécurité de Chrome qui offre une protection supplémentaire contre certains types de bogues de sécurité. Il est plus difficile pour les sites Web non fiables d'accéder ou de voler des informations de vos comptes sur d'autres sites Web.

Les sites Web ne peuvent généralement pas accéder aux données des uns et des autres dans le navigateur, grâce au code qui applique la politique de même origine. Parfois, des bogues de sécurité sont trouvés dans ce code et des sites Web malveillants peuvent essayer de contourner ces règles pour attaquer d'autres sites Web. L'équipe Chrome vise à corriger ces bogues le plus rapidement possible.

L'isolation de site offre une deuxième ligne de défense pour rendre ces vulnérabilités moins susceptibles de réussir. Cela garantit que les pages de différents sites Web sont toujours placées dans différents processus, chacun s'exécutant dans un bac à sable qui limite ce que le processus est autorisé à faire. Il empêche également le processus de recevoir certains types de documents sensibles d'autres sites. En conséquence, un site Web malveillant aura plus de mal à voler des données à d'autres sites, même s'il peut enfreindre certaines règles dans son propre processus.

L'isolation complète du site sera activée par défaut dans Google Chrome 64.

Dans la version actuelle de Google Chrome, vous pouvez activer manuellement l'isolation complète du site. Cela ajoutera une protection supplémentaire contre les vulnérabilités Meltdown et Spectre.

Sécuriser Google Chrome contre les vulnérabilités Meltdown et Spectre

  1. Ouvrez Google Chrome.
  2. Typechrome: // flags / # enable-site-per-processdans la barre d'adresse.
  3. Activez l'indicateur «Isolation stricte du site» à l'aide du bouton à côté de la description de l'indicateur.

Notez que l'activation de l'isolation complète du site augmentera l'utilisation de la mémoire - Google indique qu'elle peut être 10% à 20% de plus que d'habitude. Les administrateurs peuvent choisir d'activer l'isolation de sites de Chrome pour tous les sites ou sélectionner une liste de sites Web à exécuter dans leur propre processus de rendu.

Il est à noter que Firefox utilise un mécanisme de protection différent. Si vous êtes un utilisateur de Firefox, veuillez vous référer à l'article suivant:

Firefox 57.0.4 publié avec la solution de contournement des attaques Meltdown et Spectre

¿Cómo sabes si alguien te bloqueó?

C'est ça.

Des Articles Intéressants

Comment faire une caisse en unturned

Comment faire une caisse en unturned

Comment désactiver les astuces Cortana (Tidbits) dans Windows 10

Comment désactiver les astuces Cortana (Tidbits) dans Windows 10

Choix De L'Éditeur

Qu’est-ce que le processus wmiprvse.exe et que fait-il ?
Qu’est-ce que le processus wmiprvse.exe et que fait-il ?
Curieux de connaître le processus wmiprvse.exe exécuté sur votre ordinateur ? Il s'agit simplement d'un composant de Windows qui permet au service informatique de l'entreprise de gérer son infrastructure PC.
Spotify ne fonctionne pas sur Apple Watch ? Comment resoudre le probleme
Spotify ne fonctionne pas sur Apple Watch ? Comment resoudre le probleme
Si Spotify ne fonctionne pas sur votre Apple Watch, plusieurs facteurs peuvent être à l'origine du problème. Ces étapes de dépannage vous aideront à faire fonctionner à nouveau Spotify.
PowerShell 7.0.3 est publié avec quelques correctifs
PowerShell 7.0.3 est publié avec quelques correctifs
Microsoft a publié une mise à jour mineure de PowerShell 7, la dernière version du langage de script Windows. Il contient quelques corrections de bogues. PowerShell 7, également connu sous le nom de PowerShell Core, est une solution de script multiplateforme disponible sur Windows, MacOS et Linux. PowerShell 7 utilise maintenant .NET Core 3.1, mais conserve la compatibilité descendante avec les modules précédents
Comment supprimer et annuler l'envoi d'un message Instagram avant que le destinataire ne le voie
Comment supprimer et annuler l'envoi d'un message Instagram avant que le destinataire ne le voie
L'une des plus grandes leçons apprises actuellement dans le monde des médias sociaux est que les gens veulent du contenu qu'ils peuvent contrôler. Facebook voudra peut-être tout savoir sur vous, mais si vous ne pouvez pas contrôler qui peut voir
Comment allumer la lampe de poche sur votre téléphone Android
Comment allumer la lampe de poche sur votre téléphone Android
Vous pouvez allumer la lampe de poche sur votre téléphone Android en disant : Hey Google, allume la lampe de poche, via le menu d'accès rapide, et certains téléphones disposent de commandes gestuelles.
Comment faire une porte dans DayZ
Comment faire une porte dans DayZ
Avez-vous trouvé un petit coin confortable à Chernarus et pensez-vous qu'il est temps de vous installer? Voulez-vous revendiquer une structure abandonnée mais craignez que tout le monde puisse entrer et vous tuer dans votre sommeil ? Imeuble
Quelqu'un a recréé MS Paint 95 en JavaScript et c'est incroyable - notre art n'est pas
Quelqu'un a recréé MS Paint 95 en JavaScript et c'est incroyable - notre art n'est pas
Nous sommes tous devenus un peu nostalgiques lorsque Microsoft nous a forcés à dire au revoir en larmes à la bien-aimée MS Paint, après que la société ait annoncé qu'elle abandonnait le programme pour un programme mis à jour et plus beau appelé Paint 3D. Alors que Microsoft a dit