Firefox 57.0.4 пуснат с решение за атака Meltdown и Spectre
Mozilla днес пусна нова версия на своя браузър Firefox. Той предлага допълнителна защита срещу сериозните проблеми със сигурността, открити наскоро в процесорите на Intel. Актуализираната версия има решение за уязвимостите Meltdown и Spectre.
Реклама
Ако не сте наясно с уязвимостите Meltdown и Spectre, ние ги разгледахме подробно в тези две статии:
- Microsoft въвежда спешна корекция за дефекти на процесора Meltdown и Spectre
- Ето корекции на Windows 7 и 8.1 за дефекти на процесора Meltdown и Spectre
Накратко, както уязвимостите Meltdown, така и Spectre позволяват на процес да чете личните данни на всеки друг процес, дори извън виртуална машина. Това е възможно благодарение на внедряването на Intel за това как техните процесори предварително извличат данни. Това не може да бъде коригирано само чрез корекция на ОС. Поправката включва актуализиране на ядрото на ОС, както и актуализация на микрокод на процесора и евентуално дори актуализация на UEFI/BIOS/фърмуер за някои устройства, за да се смекчат напълно експлойтите.
Атаката може да се извърши дори с JavaScript с помощта на браузър. За да сведе до минимум вектора на атака, Mozilla пусна актуализация на браузъра Firefox, която смекчава проблема.
Официалното съобщение твърди, че и двете атаки разчитат на точно време, така че деактивирането или намаляването на точността на няколко източника на време във Firefox помага.
В съобщение казва:
Пълният мащаб на този клас атаки все още се разследва и ние работим с изследователи по сигурността и други доставчици на браузъри, за да разберем напълно заплахата и корекциите. Тъй като този нов клас атаки включва измерване на точни интервали от време, като частично, краткосрочно смекчаване, ние деактивираме или намаляваме прецизността на няколко източника на време във Firefox. Това включва както изрични източници, като performance.now(), така и неявни източници, които позволяват изграждане на таймери с висока разделителна способност, а именно SharedArrayBuffer.
По-конкретно, във всички канали за пускане, започвайки с Firefox 57:
Разделителната способност на performance.now() ще бъде намалена до 20µs.
Функцията SharedArrayBuffer е деактивирана по подразбиране.
Актуализираната версия на браузъра Firefox е вече достъпни за изтегляне за всички поддържани операционни системи и чрез системата за автоматично актуализиране на Windows. Ако сте потребител на Firefox, уверете се, че сте инсталирали най-новата версия на приложението или услугата за поддръжка на Mozilla е инсталирана и работи, така че тя ще се актуализира автоматично.
Microsoft Edge, Internet Explorer и Google Chrome също бяха актуализирани наскоро, за да коригират тази уязвимост.