ブラウザがSpectre攻撃に対して脆弱かどうかを確認する

問題を排除するために楽器を試してください

最近公開されたSpectreの脆弱性を狙った攻撃の主な標的はWebブラウザです。家庭用システムでは、Webブラウザが主要な攻撃ベクトルであると主張することができます。どうして?ブラウザーがリモートサイトに接続し、これらのサイトがJavaScriptを実行して脆弱性を悪用する可能性があるためです。

一部のブラウザメーカーは、パッチをすばやくプッシュしました。 Mozilla そして マイクロソフト たとえば、GoogleとChromiumベースのブラウザグループ全体にはまだパッチが適用されていません。

Chromeや、OperaやVivaldiなどの他のChromiumベースのブラウザで問題を軽減する方法があります。既知の攻撃フォーム、ユーザーまたは管理者を軽減する Webブラウザーで厳密なサイト分離を有効にする必要がある そうするために。

あなたが確認できる間 Windowsオペレーティングシステムが脆弱かどうか 、これまで、Webブラウザーにパッチが適用されているか、脆弱性が存在するかどうかを確認できませんでした。

ウェブブラウザSpectre Check

spectre browser check

この不確実性は過去のものですが、TencentのXUANWUラボが オンラインテスト WebブラウザーがSpectreに対して脆弱かどうかを確認します。

開始するには、ラボのWebサイトにアクセスしてください。上部に「クリックしてチェック」ボタンがあり、テストを実行するためにアクティブにする必要があります。

ブラウザのテストに時間がかかりません。一部のチェックはほぼすぐに完了しますが、他のチェックは完了までに時間がかかり、キャッシュ処理を伴います。

spectre vulnerability check

以下は、テスト済みブラウザとその脆弱性ステータスのクイックリストです(常に最新バージョンを想定しています)。

  • Firefox-脆弱ではありません
  • Firefox ESR-脆弱ではありません
  • Internet Explorer 11-脆弱ではありません
  • Microsoft Edge-脆弱ではありません
  • ペールムーン-脆弱ではありません
  • Waterfox-脆弱ではありません
  • クロム(最新)-脆弱ではありません
  • Opera Stable-脆弱ではありません
  • Google Chrome Canary-脆弱ではありません
  • Google Chrome Stable-脆弱性あり*
  • Vivaldi Stable-脆弱性あり*

* Webブラウザーで厳密なサイト分離を有効にしても脆弱ではありません。

Tencentのセキュリティチームは、脆弱性の結果は、Spectreベースの攻撃がブラウザで機能することを意味すると述べています。ただし、脆弱ではないというステータスは、ブラウザが適切に保護されていることを必ずしも意味しません。既知の攻撃から保護されていますが、問題を悪用できる未知の攻撃方法が存在する可能性があります。チームは将来的にツールを改善することを約束します。

更新:Operaから以下の修正について連絡がありました。厳格なサイト分離はメルトダウンを軽減しますが、スペクターは軽減しません。同社は、Spectreを軽減するためにOperaの共有配列バッファーを無効にしました。これは、ユーザーがOperaをテストしているときに行われました。そのため、一部のユーザーはOperaに脆弱性がないことを発見し、他のユーザーは脆弱性を発見したのです。変更を有効にするには、変更後にブラウザを再起動する必要がありました。

おわりに

ブラウザがテストで脆弱でないとテストされた後、まだ少し不確実性が残っていますが、既知の攻撃がこの脆弱性を悪用できないことは安心できます。潜在的な攻撃に対する優れた防御策は、一般にJavaScriptまたはスクリプトを無効にすることです。ただし、これによりWebの使用が困難になります。

では、あなた :お使いのブラウザは脆弱ですか? (経由 生まれ