Firefox 57.0.4 avaldati koos Meltdowni ja Spectre rünnaku lahendusega
Mozilla andis täna välja oma Firefoxi brauseri uue versiooni. See pakub lisakaitset hiljuti Inteli protsessorites avastatud tõsiste turbeprobleemide eest. Värskendatud väljalasel on lahendus Meltdowni ja Spectre haavatavuste jaoks.
Kui te pole Meltdowni ja Spectre haavatavustest teadlik, oleme neid üksikasjalikult käsitlenud nendes kahes artiklis:
- Microsoft käivitab Meltdowni ja Spectre protsessori vigade jaoks erakorralise paranduse
- Siin on Windows 7 ja 8.1 parandused Meltdowni ja Spectre protsessori vigade jaoks
Lühidalt öeldes võimaldavad nii Meltdowni kui ka Spectre haavatavused protsessil lugeda mis tahes muu protsessi privaatseid andmeid, isegi väljaspool virtuaalmasinat. See on võimalik tänu Inteli juurutamisele, kuidas nende protsessorid andmeid eellaadivad. Seda ei saa parandada ainult OS-i paikamisega. Parandus hõlmab OS-i tuuma värskendamist, samuti CPU mikrokoodi värskendust ja võib-olla isegi UEFI/BIOS-i/püsivara värskendust mõne seadme jaoks, et ärakasutamist täielikult leevendada.
Rünnakut saab sooritada isegi JavaScriptiga, kasutades brauserit. Rünnaku vektori minimeerimiseks on Mozilla välja andnud Firefoxi brauseri värskenduse, mis probleemi leevendab.
Ametlikus teadaandes väidetakse, et mõlemad rünnakud põhinevad täpsel ajastusel, seega aitab Firefoxis mitme ajaallika keelamine või täpsuse vähendamine.
The teadaanne ütleb:
Selle rünnakuklassi täielikku ulatust uuritakse endiselt ning me töötame koos turvateadlaste ja teiste brauserimüüjatega, et ohtu ja parandusi täielikult mõista. Kuna see uus rünnete klass hõlmab täpsete ajavahemike mõõtmist, siis osalise lühiajalise leevendusena keelame Firefoxis mitme ajaallika täpsust või vähendame nende täpsust. See hõlmab nii otseseid allikaid, nagu performance.now(), kui ka kaudseid allikaid, mis võimaldavad ehitada kõrge eraldusvõimega taimereid, nt SharedArrayBuffer.
Täpsemalt kõigis väljalaskekanalites, alates Firefox 57-st:
Performance.now() eraldusvõimet vähendatakse 20 µs-ni.
SharedArrayBufferi funktsioon on vaikimisi keelatud.
Firefoxi brauseri uuendatud versioon on nüüd saadaval allalaadimiseks saadaval kõigi toetatud operatsioonisüsteemide jaoks ja Windowsi automaatse värskendussüsteemi kaudu. Kui olete Firefoxi kasutaja, veenduge, et olete installinud rakenduse uusima versiooni või et Mozilla hooldusteenus on installitud ja töötab, nii et seda värskendatakse automaatselt.
Microsoft Edge, Internet Explorer ja Google Chrome Samuti värskendati hiljuti selle haavatavuse parandamiseks.
