Ο Firefox 57.0.4 κυκλοφόρησε με λύση επίθεσης Meltdown και Spectre

Η Mozilla κυκλοφόρησε σήμερα μια νέα έκδοση του προγράμματος περιήγησης Firefox. Προσφέρει επιπλέον προστασία έναντι των σοβαρών ζητημάτων ασφαλείας που εντοπίστηκαν πρόσφατα στους επεξεργαστές Intel. Η ενημερωμένη έκδοση έχει μια λύση για τα τρωτά σημεία Meltdown και Spectre.

Εάν δεν γνωρίζετε τα τρωτά σημεία Meltdown και Spectre, τα έχουμε καλύψει λεπτομερώς σε αυτά τα δύο άρθρα:

• Η Microsoft λανσάρει επείγουσα επιδιόρθωση για ελαττώματα CPU Meltdown και Spectre
• Ακολουθούν επιδιορθώσεις των Windows 7 και 8.1 για ελαττώματα CPU Meltdown και Spectre

Εν ολίγοις, τόσο τα τρωτά σημεία Meltdown όσο και Spectre επιτρέπουν σε μια διαδικασία να διαβάζει τα ιδιωτικά δεδομένα οποιασδήποτε άλλης διαδικασίας, ακόμη και εκτός μιας εικονικής μηχανής. Αυτό είναι δυνατό λόγω της εφαρμογής της Intel για τον τρόπο με τον οποίο οι CPU της προαναφέρουν δεδομένα. Αυτό δεν μπορεί να διορθωθεί μόνο με επιδιόρθωση του λειτουργικού συστήματος. Η επιδιόρθωση περιλαμβάνει ενημέρωση του πυρήνα του λειτουργικού συστήματος, καθώς και μια ενημέρωση μικροκώδικα της CPU και πιθανώς ακόμη και μια ενημέρωση UEFI/BIOS/υλικολογισμικού για ορισμένες συσκευές, για τον πλήρη μετριασμό των εκμεταλλεύσεων.

Η επίθεση μπορεί να πραγματοποιηθεί ακόμη και με JavaScript χρησιμοποιώντας πρόγραμμα περιήγησης. Για να ελαχιστοποιήσει το διάνυσμα επίθεσης, η Mozilla κυκλοφόρησε μια ενημέρωση στο πρόγραμμα περιήγησης Firefox που μετριάζει το πρόβλημα.

Η επίσημη ανακοίνωση υποστηρίζει ότι και οι δύο επιθέσεις βασίζονται στον ακριβή χρονισμό, επομένως η απενεργοποίηση ή η μείωση της ακρίβειας πολλών πηγών χρόνου στον Firefox βοηθά.

ο ανακοίνωση λέει:

Η πλήρης έκταση αυτής της κατηγορίας επίθεσης είναι ακόμα υπό διερεύνηση και συνεργαζόμαστε με ερευνητές ασφαλείας και άλλους προμηθευτές προγραμμάτων περιήγησης για να κατανοήσουμε πλήρως την απειλή και τις διορθώσεις. Δεδομένου ότι αυτή η νέα κατηγορία επιθέσεων περιλαμβάνει τη μέτρηση ακριβών χρονικών διαστημάτων, ως μερικός, βραχυπρόθεσμος μετριασμός, απενεργοποιούμε ή μειώνουμε την ακρίβεια πολλών χρονικών πηγών στον Firefox. Αυτό περιλαμβάνει τόσο ρητές πηγές, όπως performance.now(), όσο και σιωπηρές πηγές που επιτρέπουν τη δημιουργία χρονόμετρων υψηλής ανάλυσης, π.χ. SharedArrayBuffer.

Συγκεκριμένα, σε όλα τα κανάλια κυκλοφορίας, ξεκινώντας από τον Firefox 57:

Η ανάλυση του performance.now() θα μειωθεί στα 20μs.
Η δυνατότητα SharedArrayBuffer είναι απενεργοποιημένη από προεπιλογή.

Η ενημερωμένη έκδοση του προγράμματος περιήγησης Firefox είναι τώρα διαθέσιμο για λήψη για όλα τα υποστηριζόμενα λειτουργικά συστήματα και μέσω του συστήματος αυτόματης ενημέρωσης στα Windows. Εάν είστε χρήστης Firefox, βεβαιωθείτε ότι έχετε εγκαταστήσει την πιο πρόσφατη έκδοση της εφαρμογής ή ότι η Υπηρεσία Συντήρησης Mozilla είναι εγκατεστημένη και εκτελείται, οπότε θα ενημερώνεται αυτόματα.

Microsoft Edge, Internet Explorer και Google Chrome επίσης ενημερώθηκαν πρόσφατα για να διορθώσουν αυτήν την ευπάθεια.