Chrome 擴充套件程式可防止基於 JavaScript 的 CPU 旁路攻擊

據外媒報導，某學術團隊建立了一個名為Chrome Zero的 Chrome 擴充套件程式，據稱可阻止使用 JavaScript 程式碼從計算機中的 RAM 或 CPU 洩露資料的旁路攻擊。目前該擴充套件程式僅在 GitHub 上提供，並且不能透過 Chrome 官方網上商店下載。

安全專家表示，目前有 11 種最先進的旁路攻擊可以透過在瀏覽器中執行的 JavaScript 程式碼執行。

根據對這些先進的旁路攻擊進行研究之後，研究人員確定了 JavaScript 旁路攻擊試圖利用的 5 種主要資料/特性：JS 可恢復的記憶體地址、精確的時間資訊、瀏覽器的多執行緒支援、JS 程式碼執行緒共享的資料以及來自裝置感測器的資料。

針對以上情況，Chrome Zero 試圖透過攔截 Chrome 瀏覽器應執行的 JavaScript 程式碼，重寫封裝器中的某些 JavaScript 函式、屬性以及物件來抵禦旁路攻擊。尤其值得注意的是，安全專家表示 Chrome Zero 不僅能夠消除旁路攻擊，並且還具有最低的效能影響。此外，自 Chrome 49 釋出以後，Chrome Zero 將能夠阻止 50% 的 Chrome  0day 攻擊。

來源：hackernews