Firefox 57.0.4 lanzado con la solución alternativa de ataque Meltdown y Spectre

Mozilla lanzó hoy una nueva versión de su navegador Firefox. Ofrece protección adicional contra los problemas de seguridad graves que se han encontrado recientemente en las CPU de Intel. La versión actualizada tiene una solución para las vulnerabilidades Meltdown y Spectre.

Si no conoce las vulnerabilidades Meltdown y Spectre, las hemos cubierto en detalle en estos dos artículos:

• Microsoft está implementando una solución de emergencia para fallas de CPU Meltdown y Spectre
• Aquí están las correcciones de Windows 7 y 8.1 para fallas de CPU Meltdown y Spectre

En resumen, las vulnerabilidades Meltdown y Spectre permiten que un proceso lea los datos privados de cualquier otro proceso, incluso desde fuera de una máquina virtual. Esto es posible debido a la implementación de Intel de cómo sus CPU obtienen datos previamente. Esto no se puede solucionar parcheando el sistema operativo únicamente. La solución implica actualizar el kernel del sistema operativo, así como una actualización del microcódigo de la CPU y posiblemente incluso una actualización de UEFI / BIOS / firmware para algunos dispositivos, para mitigar por completo las vulnerabilidades.

El ataque se puede realizar incluso con JavaScript utilizando un navegador. Para minimizar el vector de ataque, Mozilla ha lanzado una actualización para el navegador Firefox que mitiga el problema.

El anuncio oficial afirma que ambos ataques se basan en una sincronización precisa, por lo que deshabilitar o reducir la precisión de varias fuentes de tiempo en Firefox ayuda.

los anuncio dice:

El alcance total de esta clase de ataque aún está bajo investigación y estamos trabajando con investigadores de seguridad y otros proveedores de navegadores para comprender completamente la amenaza y las correcciones. Dado que esta nueva clase de ataques implica medir intervalos de tiempo precisos, como mitigación parcial, a corto plazo, estamos desactivando o reduciendo la precisión de varias fuentes de tiempo en Firefox. Esto incluye tanto fuentes explícitas, como performance.now (), como fuentes implícitas que permiten construir temporizadores de alta resolución, a saber, SharedArrayBuffer.

Específicamente, en todos los canales de lanzamiento, comenzando con Firefox 57:

La resolución de performance.now () se reducirá a 20 µs.
La función SharedArrayBuffer está deshabilitada de forma predeterminada.

La versión actualizada del navegador Firefox ahora está disponible para descarga para todos los sistemas operativos compatibles y mediante el sistema de actualización automática en Windows. Si es un usuario de Firefox, asegúrese de haber instalado la última versión de la aplicación o de que el Servicio de mantenimiento de Mozilla esté instalado y en ejecución, por lo que se actualizará automáticamente.

Microsoft Edge, Internet Explorer y Google Chrome también se actualizaron recientemente para corregir esta vulnerabilidad.