News JavaScript: Sicherheitslücke in Chrome legt Windows 10 lahm

[Frank]

Eine jüngst bekannt gewordene Sicherheitslücke, die bereits ausgenutzt wird, ermöglicht es Angreifern, über Google Chrome den gesamten Windows-10-PC einzufrieren. Durch eine sehr hohe CPU- und Speicher-Last sollen Opfer zu einer Zahlung verleitet werden, die anschließenden Support verspricht.

Zur News: JavaScript: Sicherheitslücke in Chrome legt Windows 10 lahm

 

[|SoulReaver|]

Neu aufsetzen und die können von Geld träumen ganz einfach...

 

[Turrican101]

Warum zum Fxxk kann ein Anwendungsprogramm dieses OS noch immer lahmlegen?

Wie soll das OS denn Endlosschleifen in Anwendungsprogrammen verhindern? Künstliche Bremsen einbauen?

 

[hroessler]

@Turrican101: Das Programm darf ja blockieren, aber das OS dadurch nicht!

greetz
hroessler

 

[MountWalker]

@ hroessler

Naja, so leicht ist ein lahmgelegtes OS nicht zu vermeiden. Auf den meisten Linux-Rechnern würde es auch reichen, massenhafte Schreibzugriffe auf den Datenträger mit der Systempartition zu erzeugen und der Anwender braucht sehr sehr viel Geduld, um zu sehen, dass das OS noch reagiert. Ähnlich wird das bei diesem Chrome-Problem auf Windows auch sein - da ja das Prozess-Killen über den Task-Manager als Problemlösung angeboten wird.

 

[cunhell]

Da freut es einen doch, dass Chrome auch die Basis des neuen Microsoftbrowsers wird.
Wenn die Monokultur bei den Browserengines weiter zunimmt, werden wir das noch häufiger als jetzt sehen.

Cunhell

 

[hroessler]

@MountWalker Wir reden hier aber von hoher CPU und Speicherlast und nicht von I/O. Und wenn ich einem ausgelasteten Prozess weniger CPU-Zeit zuweise um das System reaktiv zu halten, begrenzt das auch automatisch die O/I Zugriffe des Prozesses.

greetz
hroessler

 

[mkdr]

Wie soll das OS denn Endlosschleifen in Anwendungsprogrammen verhindern? Künstliche Bremsen einbauen?

Ganz einfach, so wie bei mobilen OS auch. Es könnte zB eine Drosselung der CPU-Time geben für alle normalen window Anwendungen, die minimiert laufen in der Taskleiste und zusätzlich noch ne Blackliste. Ist ja dann dem User überlassen, zu steuern welche Apps davon ausgeschlossen sind. Wünsche mir sowas schon seit Jahren für Windows auf meinen Laptops. Windows ist leider nicht wirklich nutzbar auf mobilen Geräten, weil es einfach zu "offen" ist und alles einfach laufen lässt was so läuft. Wenn man ein Laptop mit Windows nutzen möchte, muss man alle 30 Minuten eine art manuelle Garbage-Collection durchführen, sprich alle möglichen Tasks die man nicht mehr brauch beenden. Ich schau alle 30 Minuten ins ThrottleStop und beobachte die package power. Wenn sie nicht bei 0.6W im idle Zustand ist, verbrät mal wieder irgednwas uninnig Resourcen, das kann bei Windows alles mögliche sein. Bestes Beispiel letztens erst, die Logitech Options Software. Die verbraucht +1W im idle Zustand wenn sie im Hintergrund läuft. Für Chrome nutze ich zB The Great Suspender und hab auch das flag unter chrome://flags gesetzt für minimierte Tabs, dass sie gedrosselt werden.

 

[Photon]

Wie soll das OS denn Endlosschleifen in Anwendungsprogrammen verhindern? Künstliche Bremsen einbauen?

Ich weiß nicht, wie das unter Windows umgesetzt ist, unter Linux hat jeder Prozess eine bestimmte Priorität, wenn es darum geht, wer wie viel Systemressourcen abgreifen darf. Anwendungsprogramme sollten eben nicht die höchste Priorität erhalten. Wenn ich mich zum Beispiel hier im Taskmanager umschaue, haben Benutzerprogramme eine Priorität von 0, während Prozesse des Kernels wie kworker die höchste Priorität von -20 haben (die Skala ist zwischen -20=maximum und 20=minimum).

 

[hroessler]

Scheint Microsoft nicht hinzubekommen @Photon. Naja, veilleicht hilft ja der kommende Sandbox Modus in Windows 10 um künftig solcher "spirenzenchen" Herr zu werden.

greetz
hroessler

 

[John Reese]

Wie kann es denn sein, dass eine Website in einem Chrome-Tab das ganze OS einfriert?

Ich kenne das normalerweise so, dass nur ein Tab und damit ein CPU-Thread 100% ausgelastet wird - wie kann das sein?

Btw.:
Javascript: Sicherheitslücke in Chrome legt Windows 10 lahm
sollte ein großes "s" sein.

 

[hroessler]

Ein ChromeTab ist ein eigenständiger Prozess, damit, falls ein Prozess hängt die restlichen nicht mit in den Abgrund gerissen werden. Doof nur, wenn dies dann dem OS passiert @John Reese

greetz
hroessler

 

[Compu-Freak]

Kann kaum glauben, dass ein Javascript von Chrome sogar einen 9900K so lahmlegt, dass man den Prozess nicht eliminieren kann. Naja, solange es nur Einfrieren ist, scheint es nicht so schlimm zu sein.

 

[Botcruscher]

"... dass der Windows-10-PC von einem Virus oder einer Malware befallen sei, die sensible persönliche Daten ... stehlen würde."

Streicht das Konjunktiv. Das ist bei W10 exakt die primäre Funktion.

 

[deo]

Da es eine Javascript Lücke ist, kann man sie mit ScriptSafe umgehen.
Bei unbekannten Seiten sollte Javascript deaktivert sein. Aber dazu muss man selbst etwas tun. Die Browserhersteller haben zu viel Bammel, dass eine Seite nicht mehr richtig funktioniert und lassen deshalb lieber alles zu und reißen damit ihre Nutzer ins Unglück.

 

[leipziger1979]

Sofern Chrome über diese Methode geschlossen werden kann

Sollte es bei einer LAN Verbindung nicht auch reichen einfach das Netzwerkkabel zu ziehen?

 

[Faultier]

Wer auf sowas rein fällt selber Schuld aber Dorftrottel sterben nie aus.

 

[Botcruscher]

Sollte es bei einer LAN Verbindung nicht auch reichen einfach das Netzwerkkabel zu ziehen?

Der Code läuft doch schon endlos auf dem Rechner...

 

[C.J.]

Ich habe schon mal eine Art Forkbomb für den Browser erlebt. Es öffnet sich ein neuer Tab mit Werbung. Dieser öffnet wiederum neue Tabs mit noch Werbung, diese ebenfalls, usw. Konnte es aufhalten, da Vivaldi die Funktion "rechte Tabs schließen" hat, wenn man auf einen Tab rechtsklickt. Man kann also schon ziemlich viel Blödsinn mit dem Browser treiben. Allerdings ist mein Windows nicht dadurch gefreezed.

 

[hroessler]

Sollte es bei einer LAN Verbindung nicht auch reichen einfach das Netzwerkkabel zu ziehen?

Nein, da der Code ja lokal ausgeführt wird...

greetz
hroessler