Firefox 57.0.4 udgivet med Meltdown og Spectre-angrebsløsning
Mozilla har i dag frigivet en ny version af deres Firefox-browser. Det giver ekstra beskyttelse mod de alvorlige sikkerhedsproblemer, der for nylig er fundet i Intel CPU'er. Den opdaterede udgivelse har en løsning til Meltdown og Spectre sårbarheder.
Hvis du ikke er opmærksom på Meltdown- og Spectre-sårbarhederne, har vi dækket dem i detaljer i disse to artikler:
- Microsoft udruller en nødløsning til Meltdown og Spectre CPU-fejl
- Her er Windows 7 og 8.1 rettelser til Meltdown og Spectre CPU-fejl
Kort sagt tillader både Meltdown- og Spectre-sårbarheder en proces at læse de private data for enhver anden proces, selv udefra en virtuel maskine. Dette er muligt på grund af Intels implementering af, hvordan deres CPU'er forhåndshenter data. Dette kan ikke rettes ved kun at patche OS. Rettelsen involverer opdatering af OS-kernen samt en CPU-mikrokodeopdatering og muligvis endda en UEFI/BIOS/firmwareopdatering til nogle enheder for fuldt ud at afbøde udnyttelsen.
Angrebet kan udføres selv med JavaScript ved hjælp af en browser. For at minimere angrebsvektoren har Mozilla udgivet en opdatering til Firefox-browseren, som afhjælper problemet.
Den officielle meddelelse hævder, at begge angreb er afhængige af præcis timing, så det hjælper at deaktivere eller reducere præcisionen af flere tidskilder i Firefox.
Det bekendtgørelse siger:
Det fulde omfang af denne klasse af angreb er stadig under undersøgelse, og vi arbejder sammen med sikkerhedsforskere og andre browserleverandører for fuldt ud at forstå truslen og rettelserne. Da denne nye klasse af angreb involverer måling af præcise tidsintervaller, deaktiverer eller reducerer vi præcisionen af flere tidskilder i Firefox som en delvis, kortsigtet afbødning. Dette inkluderer både eksplicitte kilder, såsom performance.now(), og implicitte kilder, der tillader opbygning af højopløselige timere, nemlig SharedArrayBuffer.
Specifikt i alle udgivelseskanaler, startende med Firefox 57:
Opløsningen af performance.now() vil blive reduceret til 20µs.
SharedArrayBuffer-funktionen deaktiveres som standard.
Den opdaterede version af Firefox-browseren er nu tilgængelig til download til alle understøttede operativsystemer og via det automatiske opdateringssystem på Windows. Hvis du er en Firefox-bruger, skal du sikre dig, at du har installeret den seneste version af appen, ellers er Mozilla Maintenance Service installeret og kører, så den opdateres automatisk.
Microsoft Edge, Internet Explorer og Google Chrome blev også for nylig opdateret for at løse denne sårbarhed.