1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › AMD widerspricht: Forscher finden…

JavaScript im Browser: Gibt es ein Exploit?

  1. Thema

Neues Thema Ansicht wechseln


  1. JavaScript im Browser: Gibt es ein Exploit?

    Autor: BLi8819 08.03.20 - 14:54

    Gibt es dazu auch ein Exploit? Oder ist das nur eine "Ist bestimmt möglich"-Aussage ohne dies real geschafft zu haben?

  2. Re: JavaScript im Browser: Gibt es ein Exploit?

    Autor: Gallantus 08.03.20 - 16:44

    Also laut dem Papier haben die Forscher sowohl Firefox als auch chrome über diese Lücke austricksen können.

    Jedoch wurde der javascript nicht veröffentlicht, damit niemand anderes so schnell die Lücke ausnutzen können.

  3. Re: JavaScript im Browser: Gibt es ein Exploit?

    Autor: z3r0t3n 09.03.20 - 08:35

    Die interessantere Frage ist: War das mit aktivierten Spectre/Meltdown Patches oder ohne?

    a) Alles gut, kein Grund zur Panik
    b) AMD hat Unrecht und es besteht Grund zur Panik

  4. Re: JavaScript im Browser: Gibt es ein Exploit?

    Autor: thomas.pi 09.03.20 - 09:39

    Auch wenn, es geht um Metataten. Sowas wie welche Page im reelen Speicher. Die ganzen Spectre und Meltdown Patches sind unter Windows standardmäßig deaktiviert und da macht sich keiner Sorgen, obwohl da entsprechend echte Angriffsszenarien existieren. Und beim Angriff auf Metadaten muss man sich jetzt auf einmal sorgen machen?

  5. Re: JavaScript im Browser: Gibt es ein Exploit?

    Autor: bofhl 09.03.20 - 12:22

    Gallantus schrieb:
    --------------------------------------------------------------------------------
    > Also laut dem Papier haben die Forscher sowohl Firefox als auch chrome über
    > diese Lücke austricksen können.
    >
    > Jedoch wurde der javascript nicht veröffentlicht, damit niemand anderes so
    > schnell die Lücke ausnutzen können.

    Und warum steht da nicht, dass das ein Bug in Javascript-Sandboxes ist?

  6. Re: JavaScript im Browser: Gibt es ein Exploit?

    Autor: Gallantus 11.03.20 - 19:25

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Gallantus schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also laut dem Papier haben die Forscher sowohl Firefox als auch chrome
    > über
    > > diese Lücke austricksen können.
    > >
    > > Jedoch wurde der javascript nicht veröffentlicht, damit niemand anderes
    > so
    > > schnell die Lücke ausnutzen können.
    >
    > Und warum steht da nicht, dass das ein Bug in Javascript-Sandboxes ist?

    Weil es das eben nicht ist. Der bug von amd ist nämlich genau, dass threads auf andere threads des selben Prozesses eingeschränkt lesend zugreifen können. Die sandbox versagt weil der Prozessor nicht so arbeitet wie er soll.

    JavaScript war nur ein Beispiel. Das Ganze funktioniert um aus jeder sandbox aus zu brechen und auf Daten des Programmes zu zu greifen, dass die sandbox bereitstellt (jedoch nicht Prozess übergreifend). Ein anderes Beispiel wäre hier ein Makro in Word oder so, welches nur Berechtigungen für sein Dokument hat, aber dank des bugs trotzdem auf Daten anderer Dokumente zugreifen kann.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universität Hohenheim, Stuttgart
  2. Berufsförderungswerk Leipzig, Leipzig
  3. Hannover Rück SE, Hannover
  4. Deutsche Post DHL Group, Berlin-Friedrichshain

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-73%) 15,99€
  2. (-53%) 27,99€
  3. (-85%) 12,50€
  4. 10,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Thinkpad DIY: Wie ich meinen alten Laptop fit für die Zukunft mache
Thinkpad DIY
Wie ich meinen alten Laptop fit für die Zukunft mache

Mit ein paar neuen Teilen und etwas Bastelei kann mein acht Jahre altes Thinkpad wieder mit den Laptops der Kollegen mithalten.
Ein Erfahrungsbericht von Moritz Tremmel

  1. MNT Reform Preis des quelloffenen Selbstbau-Laptops steht fest
  2. Golem.de-Hobbys fürs Social Distancing "Sie haben Ihre Schiffchen kaputt gemacht!"
  3. Arduino Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Space Force: Die Realität ist witziger als die Fiktion
Space Force
Die Realität ist witziger als die Fiktion

Über Trumps United States Space Force ist schon viel gelacht worden. Steve Carrell hat daraus eine Serie gemacht. Die ist allerdings nicht ganz so lustig geworden.
Von Peter Osteried

  1. Videostreaming Netflix deaktiviert lange nicht genutzte Abos
  2. Corona und Videostreaming Netflix beendet Drosselung der Bitrate, Amazon nicht
  3. Streaming Netflix-Comedyserie zeigt die Anfänge der US Space Force

Zhaoxin KX-U6780A im Test: Das kann Chinas x86-Prozessor
Zhaoxin KX-U6780A im Test
Das kann Chinas x86-Prozessor

Nicht nur AMD und Intel entwickeln x86-Chips, sondern auch Zhaoxin. Deren Achtkern-CPU fasziniert uns trotz oder gerade wegen ihrer Schwächen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. KH-40000 & KX-7000 Zhaoxin plant x86-Chips mit 32 Kernen