{"id":199617,"date":"2018-01-11T09:47:11","date_gmt":"2018-01-11T08:47:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=199617"},"modified":"2020-12-04T14:46:20","modified_gmt":"2020-12-04T13:46:20","slug":"test-ist-mein-browser-durch-spectre-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/01\/11\/test-ist-mein-browser-durch-spectre-angreifbar\/","title":{"rendered":"Test: Ist mein Browser durch Spectre angreifbar?"},"content":{"rendered":"

[English<\/a>]Heute noch ein kleiner Tipp f\u00fcr Benutzer von Ger\u00e4ten, die vor der Frage stehen, ob der dort verwendete Browser f\u00fcr Spectre angreifbar ist. Der Test ist dabei unabh\u00e4ngig vom Ger\u00e4t und Betriebssystem und es braucht nichts installiert zu werden. Hier ein \u00dcberblick, um was es geht, wie man testen kann und wo die Browser unter Windows segeln (ich habe einige Tests gefahren).<\/p>\n

<\/p>\n

Worum geht es genau?<\/h2>\n

\"\"Regul\u00e4re Blog-Leser\/innen sind schon im Bilde, k\u00f6nnen den Abschnitt also \u00fcberspringen. Hintergrund f\u00fcr den Blog-Beitrag sind die seit dem Jahreswechsel 2017\/2018 bekannt gewordenen Angriffsmethoden Meltdown und Spectre. Mit diesen Angriffsmethoden kann man die in jedem Ger\u00e4t enthaltenen Computerchips per Software angreifen und unberechtigt Daten abgreifen kann.<\/p>\n

Das funktioniert mit (b\u00f6swilligen) Programmen und Apps und geht theoretisch sogar in einem sogenannten Browser beim Surfen im Internet. Damit k\u00f6nnten b\u00f6swillige Angreifer Kennw\u00f6rter oder andere sensitive Daten von den Ger\u00e4ten der Nutzer stehlen. Eine erste Information hatte ich im Artikel Sicherheitsl\u00fccke: Bug in Intel CPUs bedroht Betriebssysteme<\/a> gegeben.<\/p>\n

\"Meltdown\/Spectre\"<\/p>\n

Die Meltdown genannte Angriffsmethode funktioniert nur auf Systemen mit Intel-Chips aus Programmen heraus und betrifft Apples macOS, Microsofts Windows sowie Linux. Hier gibt es bereits Updates, die diese Angriffsmethode wirkungslos machen sollen.<\/p>\n

Leider gibt es eine zweite, Spectre genannte, Angriffsmethode, die fast alle modernen CPUs\/Chips in allen m\u00f6glichen technischen Ger\u00e4ten betrifft und sich sogar beim Surfen per Browser nutzen l\u00e4sst. Man k\u00f6nnte also auf einer b\u00f6swilligen Webseite versuchen, den Speicher des Benutzerger\u00e4ts auszulesen, um an Passw\u00f6rter, die sich im Speicher befinden, heran zu kommen.<\/p>\n

Abhilfe k\u00f6nnten aktualisierte Browser bringen, die die M\u00f6glichkeit zum Angriff \u00fcber Spectre einschr\u00e4nken. Und genau darum geht es im Blog-Beitrag \u2013 wie kann ich testen, ob mein Browser (nach aktuellem Kenntnisstand) sicher ist?<\/p>\n

Bei Spectre gibt es zwei Angriffsmethoden. Eine l\u00e4sst sich \u00fcber Browserupdates abschw\u00e4chen. Eine zweite Methode kann nur durch Upgrades des Microcodes der CPU ausgeb\u00fcgelt werden. Letztere Angriffsmethode bleibt hier au\u00dfen vor.<\/p>\n

An dieser Stelle m\u00f6chte ich es kurz erw\u00e4hnen. Oben schreibe ich von den Sicherheitsl\u00fccken Meltdown und Spectre. Genau genommen sind dies die Namen der Angriffsmethoden. Die Sicherheitsl\u00fccken haben andere Bezeichnungen wie CVE-2017-5753<\/a> (Spectre 1, Bounds Check Bypass), CVE-2017-5715<\/a> (Spectre 2, Branch Target Injection) und CVE-2017-57<\/a> (Meltdown, Rogue Data Cache Load). Das kann sich aber niemand merken, weshalb ich die obigen Namen Meltdown und Spectre in meinen Blog-Beitr\u00e4gen verwende. Dann wei\u00df jeder, was gemeint ist.<\/p><\/blockquote>\n

Das Desaster unter Windows<\/h2>\n

Die Software-Hersteller patchen ja Windows und die Browser wie die Weltmeister. Dass es dabei durch die Updates zu b\u00f6sen Problemen bis hin zum Systemausfall kommen kann, hatte ich hier im Blog mehrfach thematisiert. Von Microsoft wurden Updates herausgegeben, von denen man als Nutzer hofft, dass die die L\u00fccken abdichten. Wer soll das sonst leisten k\u00f6nnen, wenn nicht die Hersteller, mit all ihren Spezialisten.<\/p>\n

Vertrauen ist gut, Kontrolle w\u00e4re besser. Also muss ein Test her, der mir einen schnellen \u00dcberblick gibt, was der Sicherheitsstand der Maschine ist. Gestern hatte ich im Blog den Beitrag Tipp: Test mit dem Ashampoo Spectre Meltdown CPU-Checker<\/a> ver\u00f6ffentlicht, der auch einem nicht Technik-Freak eine grobe Orientierung gibt.<\/p>\n

\"Ashampo<\/p>\n

Sobald das obige Fenster erscheint, klicken Sie auf Test starten <\/em>und warten, bis das Programm den Rechner gepr\u00fcft hat. Der Ashampoo Spectre Meltdown CPU Checker f\u00fchrt den Test durch, wertet das Ergebnis aus und differenziert noch zwischen den zwei Bedrohungsszenarien. Also im Grunde sehr einfach.<\/p>\n

\"Ashampo<\/p>\n

Obiger Screenshot zeigt die Ergebnisse eines Tests auf meiner Produktivmaschine unter Windows 7 SP1. Das letzte Monthly Rollup Update ist installiert. Eigentlich hatte ich erwartet, dass die Maschine abgedichtet w\u00e4re. Der Test sagt aber etwas anderes: Die Meltdown-L\u00fccke wird als behoben angegeben. Spectre ist auf dieser Maschine bisher noch nicht behoben.<\/p>\n

\"Chromium<\/p>\n

Autsch! Was ist da los? Der Internet Explorer war doch gepatcht, Firefox hat ein Update bekommen und in Google Chrome sowie im Slimjet habe ich eine Option zur Strict site isolation<\/em> eingestellt (siehe obiger Screenshot und den Beitrag Infos zu Meltdown und Spectre: Was man wissen sollte<\/a>, Teil 2). Wie wirkt das denn?<\/p>\n

Butter bei die Fische, ein Test muss her<\/h2>\n

Lie\u00df mir keine Ruhe, so dass ich da heute morgen weiter geforscht habe. Dank Blog-Leser PiXi, der diesen Kommentar<\/a> hinterlie\u00df, bin ich weiter gekommen.<\/p>\n

Man mag fragen, warum ich nicht selbst recherchiere, liegt bei Google ja um die Ecke. Nun ja, einmal turne ich als Blogger hier zwischen verschiedenen Themen, da ich die relevanten Informationen bereitstellen will. Zum Zweiten besteht mein Tagesablauf seit fast 3 Jahren auch aus umfangreichen Physiotherapie-\u00dcbungen, mit denen ich mich so weit ert\u00fcchtige, um ein paar Stunden am PC arbeiten zu k\u00f6nnen. Da bringt mich die Thematik Meltdown\/Spectre schon an die Grenzen. Auch aus diesem Blickwinkel finde ich das Projekt Blog so spannend, weil hier sehr schnell die Informationen der Leser zu einem Gesamtbild zusammen gef\u00fchrt werden k\u00f6nnen, die Dritten dann weiter helfen k\u00f6nnen.<\/p><\/blockquote>\n

Auf der Webseite des chinesischen Sicherheitsanbieters xlab.tencent.com<\/em> findet sich dieser Test<\/a>. Es reicht, die URL in einem Browser aufzurufen und auf Click to Check <\/em>zu klicken oder tippen. Schon erh\u00e4lt man eine \u00dcbersicht, was im Hinblick auf Spectre und den verwendeten Browser Sache ist.<\/p>\n

Wie h\u00e4lt es dein Browser?<\/h2>\n

Und da wurde es f\u00fcr mich extrem spannend. Auf meiner Produktivmaschine mit Windows 7 SP1 sind neben dem Internet Explorer 11 noch der Firefox, der Google Chrome und der Slimjet als portable Browser verf\u00fcgbar. Beim Slimjet und Google Chrome hatte ich 'abdichten versucht', aber das Bauchgef\u00fchl 'das war f\u00fcr die Katz'. Und der oben erw\u00e4hnte Test ergab ja, das System ist f\u00fcr Spectre anf\u00e4llig. Hier meine Ergebnisse des Kurztest.<\/p>\n

Internet Explorer 11 und Microsoft Edge<\/h3>\n

Ich habe am Patchday das Monthly Rollup Update KB4056894<\/a> (Kritische Sicherheitsupdates f\u00fcr Windows 7\/8.1\/Server (3.\/4.1.2018)<\/a>) installiert. Also den IE 11 aufgerufen und die obige URL eingegeben.<\/p>\n

\"Spectre<\/p>\n

Obiger Screenshot zeig das Ergebnis f\u00fcr Spectre im Internet Explorer. Die Anzeige kommt sofort, ohne gr\u00f6\u00dfere Tests.<\/p>\n

\"Spectre<\/p>\n

F\u00fcr Edge werden diverse Cache-Tests ausgef\u00fchrt. Aber am Ende des Tages ergibt sich das obige Ergebnis. Ich w\u00fcrde sagen, Microsoft hat seine Hausaufgaben gemacht.<\/p>\n

Was sagt der Firefox 57.0.4?<\/h3>\n

Als n\u00e4chstes habe ich den Firefox in der Version 57.0.4 getestet. Laut meinem Blog-Beitrag Firefox 57.0.4 mit Spectre-Patch verf\u00fcgbar<\/a> haben die Mozilla-Entwickler ja reagiert.<\/p>\n

\"Spectre<\/p>\n

Der obige Screenshot zeigt dann auch, dass bei dieser Browserversion alles im gr\u00fcnen Bereich ist.<\/p>\n

Google Chrome und Slimjet<\/h2>\n

Kommen wir zum Paradepferdchen Google Chrome (und dessen Clone Slimjet), der bez\u00fcglich Marktdurchdringung alles an die Wand dr\u00fcckt. Es gibt hier im Blog ja Hinweise, dass Chromium erst Ende Januar 2018 gepatcht wird. Aber ich hatte ja im Blog-Beitrag\u00a0 Infos zu Meltdown und Spectre: Was man wissen sollte<\/a>, Teil 2, einen Hinweis gegeben. \u00dcber die Option Strict site isolation<\/em> sollten ja Google Chrome sowie der Slimjet geh\u00e4rtet werden k\u00f6nnen.<\/p>\n

\"Spectre<\/p>\n

Beim Test mit dem Google Chrome hat es mir (bildlich gesprochen) die Schuhe ausgezogen. Im ersten Durchlauf wurde mir heute morgen gemeldet, dass der Browser verwundbar w\u00e4re. Das war der Trigger, genauer nachzuschauen. Als ich dann den Blog-Beitrag schrieb, musste ich den Test erneut ausf\u00fchren und bekam die obige Anzeige 'nicht angreifbar'.<\/p>\n

An der Stelle wird die Geschichte bitter, sehr, sehr bitter. Der Google Chrome l\u00e4uft hier st\u00e4ndig mit vielen ge\u00f6ffneten Tabs. Wegen der Speicherfresser habe ich ein Addon The Greath Suspender mitlaufen, welches nicht angezeigte Tabs suspendiert. Trotzdem killt sich der Chrome von Zeit zu Zeit. Heute musste ich den Chrome per Taskmanager abschie\u00dfen, weil er pl\u00f6tzlich keine Twitter-Einbettungen mehr sauber rendern konnte. Und danach gab es wohl das obige Testergebnis. Hei\u00dft: Im Chrome bist Du m\u00f6glicherweise auf unsicheren F\u00fc\u00dfen unterwegs. Die Site-Isolation funktioniert nach dem Zufallsprinzip (ist ja auch 'experimentell') \u2013 nur so als Info.<\/p><\/blockquote>\n

Beim Slimjet-Browser 17.0.4 (siehe<\/a>) wird es in der aktuellen Form noch kritischer. Ich hatte dort den Ansatz mit chrome:\/\/flags\/#enable-site-per-process<\/em> durchgef\u00fchrt und der Browser zeigt mir, dass das aktiviert sei. Aber der obige Test ergibt folgendes Bild:<\/p>\n

\"Spectre<\/p>\n

Wenn mir kein Fehler unterlaufen ist, wirkt die Site-Isolation im aktuellen Slimjet nicht. Oder erhaltet ihr andere Ergebnisse?<\/p>\n

Ist jetzt ein l\u00e4nger Blog-Beitrag geworden (nach dem Motte 'ich habe keine Zeit, aber ich schreibe mal einen langen Brief). Vielleicht hilft es trotzdem etwas, den Weg im Informationsdschungel zu finden. Falls ihr weitere Browser getestet habt, k\u00f6nnt ihr ja die Ergebnisse posten.<\/p>\n

Anmerkung: Tencent schreibt auf der Testseite, falls das Ergebnis\u00a0VULNERABLE angezeigt wird, ist dies definitiv wahr. Falls NOT VULNERABLE erscheint, ist dies keine 100%ige Garantie, dass man nicht angreifbar ist. Denn es k\u00f6nnte ja noch unbekannte Spectre-Angriffsmethoden geben. Dies bitte im Hinterkopf behalten.<\/p><\/blockquote>\n

\u00c4hnliche Artikel<\/strong>
\nSicherheitsl\u00fccke: Bug in Intel CPUs bedroht Betriebssysteme<\/a>
\nWindows 10: Patch fixt den Intel-Bug<\/a>
\nKritische Updates f\u00fcr Windows und Browser (3.1.2018)<\/a>
\nWindows 10: Kritische Updates vom 3.1.2018<\/a>
\nKritische Sicherheitsupdates f\u00fcr Windows 7\/8.1\/Server (3.\/4.1.2018)<\/a>
\nWeitere Updates (Internet Explorer, GDI) 3.1.2018<\/a>
\nWindows10: Update KB4056892 killt AMD-Systeme (Error 0x800f0845)<\/a>
\nWindows 7: Update KB4056894 macht Probleme (0x000000C4)<\/a>
\nWindows Updates (KB4056892, KB4056894 etc.) f\u00fcr AMD tempor\u00e4r zur\u00fcckgezogen<\/a><\/p>\n

Meltdown und Spectre: Was Windows-Nutzer wissen m\u00fcssen<\/a>
\nInfos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 1<\/a>
\nInfos zu Meltdown und Spectre: Was man wissen sollte \u2013 Teil 2<\/a>
\nMeltdown\/Spectre: Leistungseinbu\u00dfen durch Patches<\/a>
\nBringen Meltdown\/Spectre die Tech-Industrie ans wanken?<\/a>
\nUpdates auf iOS 11.2.2 und macOS 10.13.2 f\u00fcr Spectre-L\u00fccke<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heute noch ein kleiner Tipp f\u00fcr Benutzer von Ger\u00e4ten, die vor der Frage stehen, ob der dort verwendete Browser f\u00fcr Spectre angreifbar ist. Der Test ist dabei unabh\u00e4ngig vom Ger\u00e4t und Betriebssystem und es braucht nichts installiert zu werden. Hier … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,1432,1356,908,426],"tags":[414,4328],"class_list":["post-199617","post","type-post","status-publish","format-standard","hentry","category-edge","category-firefox-internet","category-google-chrome-internet","category-internet","category-sicherheit","tag-browser","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=199617"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199617\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=199617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=199617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=199617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}