Come verificare se il browser è vulnerabile a Spectre

Fino ad oggi non era ancora stato rilasciato uno strumento per verificare l’esposizione del browser ad eventuali attacchi Spectre.
La vulnerabilità Spectre, come evidenziato nell’articolo Verificare se il processore in uso è vulnerabile a Meltdown e Spectre è particolarmente pericolosa perché è cross process: un aggressore potrebbe quindi riuscire a leggere il contenuto della memoria, anche quella usata dagli altri processi in esecuzione, ed estrarre dati sensibili.

In ottica futura, quindi, il problema più importante risiede nella possibilità – da parte dei criminali informatici – di eseguire codice nocivo dal browser web, superando i meccanismi di sandboxing e provocando l’estrazione dei dati altrui (potenzialmente anche nomi utenti e password) dalla memoria del PC o del dispositivo in uso.

I tecnici dei laboratori Tencent hanno pubblicato una pagina web che si occupa di verificare se il browser è vulnerabile a Spectre.

Il test è semplicissimo da effettuare ed è avviabile da questa pagina cliccando sul pulsante Click to check.
Se la verifica dovesse restituire Vulnerable come responso, la versione del browser in uso è da considerarsi certamente vulnerabile a Spectre.

Viceversa, se venisse mostrato il messaggio Not vulnerable, significa che il browser offre una protezione sufficiente nei confronti di tutti gli attacchi sinora conosciuti. Non è escluso, e gli esperti di Tencent tengono a precisarlo, che in futuro possano venire a galla nuove modalità d’attacco facenti leva sulla vulnerabilità Spectre.

Il tool di verifica online continuerà comunque ad essere aggiornato nel corso delle prossime settimane rispecchiando l’evoluzione degli eventuali attacchi.
I browser vulnerabili sono tutti quelli basati sul motore di Google Chrome. Chromium, però, viene già indicato come non vulnerabile e le patch anti Spectre saranno a breve distribuite con il lancio della prossima versione stabile di Chrome.
Allo stato attuale, Firefox, Firefox ESR, Chromium, Edge, Internet Explorer 11, Chrome Canary, Waterfox e Pale Moon sono tutti non vulnerabili (nelle versioni più aggiornate).

Mostrano invece ancora il fianco a Spectre le versioni stabili di Chrome, Opera e Vivaldi a meno che non si attivi la cosiddetta Strict site isolation (per Chrome basta digitare chrome://flags/#enable-site-per-process nella barra degli indirizzi e fare clic su Abilita).