Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


Google partage Spectre PoC ciblant les moteurs JavaScript de navigateur

Google a publié du code JavaScript Proof-of-Concept (PoC) pour démontrer le caractère pratique de l’utilisation d’exploits Spectre qui ciblent les navigateurs Web pour accéder aux informations à partir de la mémoire d’un navigateur.

Selon l’équipe de sécurité de Google, le PoC partagé d’aujourd’hui fonctionne pour une variété d’architectures de processeur, de systèmes d’exploitation et de générations de matériel.

Les mécanismes de sécurité que les fournisseurs ont ajoutés aux navigateurs Web pour protéger les utilisateurs contre les attaques Spectre (par exemple, l’isolation de site, les iframes hors processus, la lecture inter-blocs et d’autres politiques d’origine croisée) ne bloquent pas réellement les tentatives d’exploitation.

Au lieu de cela, ils protègent les données sensibles des utilisateurs contre toute intrusion dans les mains de l’attaquant en sortant du stockage accessible pendant les attaques.

Google recommande de l’utiliser pour les développeurs Web nouveaux mécanismes de sécurité « Atténuer les attaques matérielles de type Spectre et les attaques générales au niveau du Web Fuites intersites. « 

L’équipe de sécurité de la plate-forme Web Chrome fournit également des conseils aux développeurs pour Développement Web Post Spectre et pour Atténuation des attaques de canaux secondaires.

En plus de la protection standard comme Options X-Content-Type et Options de cadre en X Google recommande d’activer les consignes suivantes dans le cadre de ses efforts continus pour atténuer les attaques Spectre:

L’équipe de sécurité de Google a également créé un prototype de Chrome appelé spectroscope pour aider les ingénieurs en sécurité et les développeurs Web à protéger leurs sites Web contre Spectre.

Spectroscope scanne les applications Web à la recherche de ressources pouvant nécessiter des précautions de sécurité supplémentaires contre les attaques Spectre.

«Aujourd’hui, nous partageons un code de preuve de concept (PoC) qui confirme la faisabilité des exploits de Spectre contre les moteurs JavaScript.» mentionné Stephen Röttger et Artur Janc, ingénieurs en sécurité de l’information chez Google.

« Nous utilisons Google Chrome pour démontrer notre attaque. Cependant, ces problèmes ne sont pas spécifiques à Chrome. Nous supposons que d’autres navigateurs modernes sont également sensibles à ce vecteur d’exploitation. »

Les chercheurs de Google ont créé une démonstration interactive spéciale de l’attaque contre côté qui fuit et publié une description détaillée sur Github.

Le but de la démonstration de validation de principe dans le navigateur est de prouver la faisabilité d’un exploit Spectre basé sur le Web. Vous ne pouvez pas ensuite tester si votre appareil est sensible à de telles attaques.

Une démo vidéo montrant les résultats d’une attaque réussie utilisant l’exploit PoC de Google sur un ordinateur Intel i7-6500U Ubuntu avec Chrome 88 est intégrée ci-dessous.

La vulnérabilité Spectre était révélé comme une défaillance matérielle par les chercheurs en sécurité de Google Project Zero en janvier 2018.

Les attaquants peuvent l’exploiter sur des systèmes vulnérables pour voler des données sensibles, y compris des mots de passe, des documents et d’autres données disponibles dans un stockage privilégié.

effrayer (CVE-2017-5753) Les attaques par canal secondaire affectent les modèles de processeurs Intel, AMD et ARM modernes qui prennent en charge la prédiction de branche et l’exécution spéculative.

Comme l’ont également constaté les chercheurs de Project Zero, Spectre affecte également les systèmes d’exploitation clés (par exemple Windows, Linux, macOS, Android et ChromeOS).

Tous les principaux fabricants de processeurs et de systèmes d’exploitation ont publié des correctifs de micrologiciel et des correctifs logiciels pour Spectre depuis sa découverte.

Le mois dernier, le chercheur en sécurité Julien a retrouvé Voisin Exploits fonctionnels pour les systèmes Linux et Windows sur VirusTotal.

Les deux exploits ont été téléchargés sur VirusTotal dans le cadre d’un package plus large: une version fissurée de l’outil de test de pénétration CANVAS a été divulguée depuis au moins décembre 2020 et est échangée en ligne.



Source link

Recent Posts