Фахівці компанії Google опублікували PoC-код на JavaScript для експлуатації уразливості Spectre, що дозволяє отримати доступ до інформації з пам’яті web-браузерів.
За даними команди безпеки Google, PoC-код для експлуатації уразливості працює з широким спектром архітектур процесорів, операційних систем і поколінь обладнання.
Google радить розробникам використовувати нові механізми безпеки в якості заходів щодо запобігання експлуатації уразливості Spectre. Крім стандартних засобів захисту, таких як заголовки X-Content-Type-Options і X-Frame-Options, Google рекомендує додати такі політики в рамках поточних зусиль щодо запобігання атак Spectre.
Cross-Origin Resource Policy (CORP) і Fetch Metadata Request Headers дозволяють розробникам контролювати, які сайти можуть вбудовувати їх ресурси, такі як зображення або скрипти, запобігаючи впровадження даних у процес рендеринга браузера, контрольований зловмисником.
Політика Cross-Origin Opener Policy (COOP) дозволяє розробникам гарантувати, що вікно програми не буде отримувати несподівані взаємодії з іншими web-сайтами, дозволяючи браузеру ізолювати його у власному процесі. Це додає важливий захист, особливо в браузерах, які не підтримують повну ізоляцію сайту.
Cross-Origin Embedder Policy (COEP) гарантує, що будь-які аутентифіковані ресурси, які запитує додаток, будуть завантажені. Для гарантованої ізоляції на рівні процесів для високочутливих додатків в Chrome або Firefox, додатки повинні включати як політику COEP, так і COOP.
Команда безпеки Google також створила прототип розширення Chrome під назвою Spectroscope, щоб допомогти експертам і web-розробникам захистити свої сайти від атак типу Spectre. Spectroscope сканує додатки на предмет ресурсів, для яких може знадобитися включення додаткових засобів захисту від атак Spectre.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Signal чи Telegram: який додаток кращий для чату?
Топ-7 альтернативних месенджерів на заміну WhatsApp
Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ
Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19
Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ
Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.
Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple Mac. Він отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.
Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.
Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.
До речі, нещодавно виявлена фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.