Firefox 57.0.4 julkaistiin Meltdown- ja Spectre-hyökkäysratkaisulla
Mozilla julkaisi tänään uuden version Firefox-selaimestaan. Se tarjoaa lisäsuojaa Intel-suorittimissa äskettäin havaittuja vakavia tietoturvaongelmia vastaan. Päivitetyssä julkaisussa on ratkaisu Meltdown- ja Spectre-haavoittuvuuksiin.
Jos et ole tietoinen Meltdown- ja Spectre-haavoittuvuuksista, olemme käsitelleet niitä yksityiskohtaisesti näissä kahdessa artikkelissa:
- Microsoft ottaa käyttöön hätäkorjauksen Meltdown- ja Spectre-suoritinvirheisiin
- Tässä on Windows 7- ja 8.1-korjauksia Meltdown- ja Spectre-suoritinvirheille
Lyhyesti sanottuna sekä Meltdown- että Spectre-haavoittuvuudet sallivat prosessin lukea minkä tahansa muun prosessin yksityisiä tietoja, jopa virtuaalikoneen ulkopuolelta. Tämä on mahdollista, koska Intel on toteuttanut sen, kuinka heidän suorittimensa esihakevat tietoja. Tätä ei voi korjata vain korjaamalla käyttöjärjestelmää. Korjaus sisältää käyttöjärjestelmän ytimen päivityksen sekä prosessorin mikrokoodipäivityksen ja mahdollisesti jopa UEFI/BIOS/firmware-päivityksen joillekin laitteille hyväksikäytön vähentämiseksi.
Hyökkäys voidaan suorittaa jopa JavaScriptillä selaimella. Hyökkäysvektorin minimoimiseksi Mozilla on julkaissut Firefox-selaimeen päivityksen, joka lieventää ongelmaa.
Virallinen ilmoitus väittää, että molemmat hyökkäykset perustuvat tarkkaan ajoitukseen, joten useiden aikalähteiden poistaminen käytöstä tai tarkkuuden vähentäminen Firefoxissa auttaa.
The ilmoitus sanoo:
Tämän luokan hyökkäysten laajuutta tutkitaan edelleen, ja teemme yhteistyötä tietoturvatutkijoiden ja muiden selaintoimittajien kanssa ymmärtääksemme uhan ja korjaukset. Koska tämä uusi hyökkäysluokka sisältää tarkkojen aikavälien mittaamisen, osittaisena, lyhytaikaisena lievennyksenä poistamme Firefoxin useiden aikalähteiden tarkkuuden käytöstä tai vähennämme niiden tarkkuutta. Tämä sisältää sekä eksplisiittiset lähteet, kuten performance.now(), että implisiittiset lähteet, jotka mahdollistavat korkean resoluution ajastimien rakentamisen, eli SharedArrayBuffer.
Erityisesti kaikissa julkaisukanavissa Firefox 57:stä alkaen:
Performanssin performance.now() resoluutio pienenee 20 µs: iin.
SharedArrayBuffer-ominaisuus on oletuksena poistettu käytöstä.
Firefox-selaimen päivitetty versio on nyt ladattavissa kaikille tuetuille käyttöjärjestelmille ja automaattisen päivitysjärjestelmän kautta Windowsissa. Jos olet Firefox-käyttäjä, varmista, että olet asentanut sovelluksen uusimman version tai että Mozillan ylläpitopalvelu on asennettu ja käynnissä, jotta se päivittyy automaattisesti.
Microsoft Edge, Internet Explorer ja Google Chrome myös päivitettiin äskettäin tämän haavoittuvuuden korjaamiseksi.
