Google [视频]谷歌公开Leaky.Page代码 展示浏览器中利用Spectre漏洞
谷歌近日公开了概念验证代码,展示了如何在现代网络浏览器的 JavaScript 引擎中利用 Spectre 漏洞 。相关代码已经公布,你甚至可以在 leaky.page 网站上亲自尝试 。
【Google|[视频]谷歌公开Leaky.Page代码 展示浏览器中利用Spectre漏洞】谷歌的 Leaky.Page 代码显示,当在 Skylake CPU 上运行 Chrome 浏览器时,可以利用 1kB/s 左右的速度泄露数据 。该概念验证代码只需对 JavaScript 稍作修改就能攻击,主要针对英特尔 Skylake CPU 的,而它也应该适用于其他处理器和浏览器 。谷歌还成功在苹果自研芯片 M1 上运行这种 Leaky.Page 攻击 。
谷歌还演示了以 8kB/s 的速度泄露数据的代码,不过稳定性比较低 。另一方面,他们有使用 JavaScript 定时器的概念验证代码,能以 60B/s 的速度泄露 。
Google 的 Leaky.Page PoC 是一个 Spectre V1 小工具,它是一个推测出界访问(out of bounds)的 JavaScript 数组 。。虽然 V1 小工具可以在软件层面进行缓解,但 Chrome 的 V8 团队认定,其他小工具对于 Spectre Variant 4 来说,“在软件上根本无法进行缓解” 。
更多关于谷歌最新的Spectre发现的细节通过谷歌安全博客. 概念验证的Spectre代码可以在 leaky.page上找到 。与此同时,W3C在本周发布了一份关于Spectre的网络开发者建议的编辑草案 。
推荐阅读
- 金星 谷歌与哈佛发布首个大规模人脑“地图”,包含1.3亿个突触
- Google Google人工智能伦理部门动荡不安 已引起外部监管机构关注
- Huawei 华为正式发布HarmonyOS操作系统 央视:打破了苹果、谷歌的垄断
- Google Google拟加强Android用户隐私保护并与苹果抗衡
- Google 苹果联合创始人沃兹尼亚克在起诉YouTube的官司中败诉
- Google 前SiriusXM首席产品与技术官将带领谷歌地理产品团队
- Google 神秘卖家在eBay上销售Google Pixel Muskie原型机
- Google YouTube称其在过去12个月中向音乐行业支付了40亿美元的费用
- weiwei bo是身不由己的小可怜?落败视频被曝光,送了十几次还忍不住大笑
- Google 比特币、以太币大热 Google解除三年前禁令:允许交易所、钱包做广告