Vydán Firefox 57.0.4 s řešením útoku Meltdown a Spectre
Mozilla dnes vydala novou verzi svého prohlížeče Firefox. Nabízí extra ochranu proti závažným bezpečnostním problémům, které se nedávno objevily u procesorů Intel. Aktualizovaná verze má řešení pro zranitelnost Meltdown a Spectre.
reklama
Pokud si nejste vědomi zranitelností Meltdown a Spectre, podrobně jsme je probrali v těchto dvou článcích:
- Microsoft vydává nouzovou opravu pro chyby CPU Meltdown a Spectre
- Zde jsou opravy chyb procesoru Meltdown a Spectre ve Windows 7 a 8.1
Stručně řečeno, zranitelnosti Meltdown i Spectre umožňují procesu číst soukromá data jakéhokoli jiného procesu, a to i mimo virtuální stroj. To je možné díky implementaci Intelu, jak jejich CPU přednačítají data. Toto nelze opravit pouze záplatou operačního systému. Oprava zahrnuje aktualizaci jádra operačního systému a také aktualizaci mikrokódu CPU a možná i aktualizaci UEFI/BIOS/firmwaru pro některá zařízení, aby se plně zmírnily exploity.
Útok lze provést i pomocí JavaScriptu pomocí prohlížeče. Aby se minimalizoval vektor útoku, Mozilla vydala aktualizaci prohlížeče Firefox, která tento problém zmírňuje.
Oficiální oznámení tvrdí, že oba útoky spoléhají na přesné načasování, takže deaktivace nebo snížení přesnosti několika zdrojů času ve Firefoxu pomáhá.
The oznámení říká:
Úplný rozsah tohoto typu útoku je stále předmětem vyšetřování a spolupracujeme s bezpečnostními výzkumníky a dalšími prodejci prohlížečů, abychom plně porozuměli hrozbě a opravám. Protože tato nová třída útoků zahrnuje měření přesných časových intervalů, jako částečné, krátkodobé zmírnění deaktivujeme nebo snižujeme přesnost několika zdrojů času ve Firefoxu. To zahrnuje jak explicitní zdroje, jako je performance.now(), tak implicitní zdroje, které umožňují vytvářet časovače s vysokým rozlišením, viz SharedArrayBuffer.
Konkrétně ve všech kanálech vydání, počínaje Firefoxem 57:
Rozlišení performance.now() bude sníženo na 20 µs.
Funkce SharedArrayBuffer je ve výchozím nastavení zakázána.
Aktualizovaná verze prohlížeče Firefox je nyní k dispozici k dispozici ke stažení pro všechny podporované operační systémy a prostřednictvím systému automatických aktualizací v systému Windows. Pokud jste uživatelem Firefoxu, ujistěte se, že máte nainstalovanou nejnovější verzi aplikace nebo že je nainstalována a spuštěna služba Mozilla Maintenance Service, takže se automaticky aktualizuje.
Microsoft Edge, Internet Explorer a Google Chrome byly také nedávno aktualizovány, aby tuto chybu zabezpečení opravily.
