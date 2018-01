In Chrome lässt sich eine Option aktivieren, die das Risiko der Prozessor-Sicherheitslücke verringern soll. Mozilla hat ebenfalls Maßnahmen angekündigt, die die Auswirkungen der Lücke abmildern sollen.

Als Reaktion auf die schwerwiegende Prozesor-Sicherheitslücke, für die es bereits Angriffsszenarien gibt, haben nun Google und Mozilla für ihre Browser erste Gegenmaßnahmen angekündigt. Nutzern von Chromium (und damit Chrome) wird geraten, die Option "Website-Isolierung" zu aktivieren. Dazu muss man chrome://flags/#enable-site-per-process in die Adressleiste eingeben und hinter "Strict site isolation" auf den Button "Aktivieren" klicken. Ist diese Option aktiv, rendert Chrome den Inhalt jeder geöffneten Website in einem eigenen Prozess, was es Angreifern erschweren soll, das Sicherheitsproblem auszunutzen.

In Unternehmen, die ihre Chrome-Installationen zentral administrieren, lässt sich diese Option auch vom Administrator für alle Chrome-Instanzen setzen. Ab Chrome-Version 64, die Ende Januar erscheinen soll, soll auch die JavaScript-Engine V8 selbst weitere Maßnahmen gegen die Bugs ergreifen. Der Blog-Beitrag des Chromium-Teams enthält auch Maßnahmen, mit denen Website-Betreiber die Sicherheit ihrer Besucher erhöhen können.

Mozilla arbeitet nach eigenen Angaben ebenfalls an Sofortmaßnahmen. Da die neuen Angriffe eine genaue Zeitmessung erfordern, wird die Genauigkeit von Zeitquellen in Firefox herabgesetzt. Im einzelnen wird die JavaScript-Methode performance.now() die Zeit nur noch auf 20µs genau angeben, SharedArrayBuffer wird deaktiviert. Diese Maßnahmen sollen in allen Release Channels von Firefox veröffentlicht werden, angefangen bei der aktuellen Version 57 des Browsers.

Die Entwickler von Chromium und von Mozilla betonen, dass es sich bei ihren Reaktionen um Schnellschüsse handelt, die das Risiko allenfalls ein wenig abmildern. (jo)