Google強化Chrome 77網站隔離機制 植入安卓版
新聞
10-20
本周Google表示,將進一步強化Chrome 77桌面版網站隔離機制,可防禦已被危害的渲染程序攻擊,並首次在Android版Chrome嵌入網站隔離機制。
據悉,為了應對Spect re分支預測攻擊漏洞,Google在2018年7月時,讓網站隔離機製成為Chrome 67的預設值。而網站隔離機制是在瀏覽器訪問不同網站時,通過各自獨立的程序載入這些網站,並限制相關程序可訪問的資源與功能,藉此阻擋駭客竊取跨站數據。
Google表示,與桌面版Chrome一樣,該機制的Android版將令駭客更難自其它網站竊取數據,而且還能抵擋類似Spectre等CPU漏洞的攻擊。
然而,為了確保網站隔離機制不會影響資源有限的Android流暢度,Android版的Chrome 77並不會隔離所有的網站,只會隔離那些必須輸入密碼的網站,如金融或購物網站。
另一方面,桌面版的Chrome 77在網站隔離機制上也有所提升。之前該機制主要是為了對抗Spectre攻擊,現在則能防禦更嚴重的攻擊,例如在渲染程序由於安全漏洞而遭受威脅之時,也能保護數據安全。
Google舉例稱,當駭客利用渲染引擎Blink的內存破壞漏洞時,可能允許駭客脫離Blink的安全檢查,在受到沙箱保護的渲染程序中執行任意代碼,但Chrome程序卻可識別出各個網站專用的渲染程序,因而能限制可被訪問的cookie、密碼或網站信息,讓駭客更難以竊取跨站數據。
總之,Chrome 77的網站隔離將能保護認證信息、網路數據、所存儲的信息與許可,或是跨域通訊等機密數據,不因渲染程序被攻破而受害。
(7298873)