Un gruppo di ricercatori, tra cui un indipendente, diversi accademici, una società privata (Cyberus Technology) e Rambus, famosa azienda statunitense di semiconduttori e memorie fondata nel 1990, hanno dimostrato come sia possibile sfruttare la vulnerabilità battezzata Spectre e presente nei microprocessori moderni (da 20 anni fa ad oggi) utilizzando codice JavaScript.
Esaminando questo documento appare chiaro come il codice JavaScript messo a punto possa essere ad esempio caricato dal browser web e utilizzato dai malintenzionati per violare la sandbox.
Il risultato dell’aggressione sarà la lettura, da parte di terzi, del contenuto dello spazio di indirizzamento usato dal browser e dai processori ad esso facenti capo.
I principali sviluppatori di browser web (Google, Mozilla e Microsoft) hanno confermato che è possibile, per un aggressore, prepare un contenuto malevolo in grado di leggere informazioni personali ed estrarre dati sensibili dell’utente.
In altre parole, un malintenzionato può così superare il concetto della same origin policy (una qualunque pagina web non deve mai essere in grado di accedere al contenuto di altre pagine contemporaneamente aperte) e spiare i dati gestiti in altre schede o in altri processi del browser (compreso il password manager).
Mozilla ha spiegato che dal momento che questo tipo di attacchi prevede l’implementazione di una serie di misurazioni ad intervalli di tempo ben precisi, come soluzioni temporanea si è deciso di ridurre significativamente la precisione dei dati temporali restituite da diverse funzioni utilizzabili in Firefox.
Analoga iniziativa è stata adottata da Microsoft in Edge e Internet Explorer così come da Google che applicherà le stesse modifiche in Chrome 64 che sarà distribuito a partire dal prossimo 23 gennaio (vedere qui).