Firefox 57.0.4 publié avec la solution de contournement des attaques Meltdown et Spectre
Mozilla a publié aujourd'hui une nouvelle version de son navigateur Firefox. Il offre une protection supplémentaire contre les graves problèmes de sécurité récemment découverts dans les processeurs Intel. La version mise à jour a une solution de contournement pour les vulnérabilités Meltdown et Spectre.
Publicité
Si vous n'êtes pas au courant des vulnérabilités Meltdown et Spectre, nous les avons couvertes en détail dans ces deux articles :
- Microsoft déploie un correctif d'urgence pour les failles du processeur Meltdown et Spectre
- Voici les correctifs de Windows 7 et 8.1 pour les défauts du processeur Meltdown et Spectre
En bref, les vulnérabilités Meltdown et Spectre permettent à un processus de lire les données privées de tout autre processus, même depuis l'extérieur d'une machine virtuelle. Cela est possible grâce à la mise en œuvre par Intel de la façon dont leurs processeurs extraient les données. Cela ne peut pas être résolu en corrigeant uniquement le système d'exploitation. Le correctif implique la mise à jour du noyau du système d'exploitation, ainsi qu'une mise à jour du microcode du processeur et peut-être même une mise à jour UEFI/BIOS/firmware pour certains appareils, afin d'atténuer pleinement les exploits.
L'attaque peut être effectuée même avec JavaScript à l'aide d'un navigateur. Afin de minimiser le vecteur d'attaque, Mozilla a publié une mise à jour du navigateur Firefox qui atténue le problème.
L'annonce officielle affirme que les deux attaques reposent sur un timing précis, ce qui permet de désactiver ou de réduire la précision de plusieurs sources de temps dans Firefox.
Les annonce dit:
L'étendue complète de cette classe d'attaques est toujours à l'étude et nous travaillons avec des chercheurs en sécurité et d'autres fournisseurs de navigateurs pour bien comprendre la menace et les correctifs. Étant donné que cette nouvelle classe d'attaques implique la mesure d'intervalles de temps précis, nous désactivons ou réduisons la précision de plusieurs sources de temps dans Firefox en tant qu'atténuation partielle à court terme. Cela inclut à la fois les sources explicites, comme performance.now(), et les sources implicites qui permettent de créer des minuteurs haute résolution, à savoir, SharedArrayBuffer.
Plus précisément, dans tous les canaux de publication, à partir de Firefox 57 :
La résolution de performance.now() sera réduite à 20µs.
La fonctionnalité SharedArrayBuffer est désactivée par défaut.
La version mise à jour du navigateur Firefox est maintenant disponible pour le téléchargement pour tous les systèmes d'exploitation pris en charge et via le système de mise à jour automatique sous Windows. Si vous êtes un utilisateur de Firefox, assurez-vous que vous avez installé la dernière version de l'application, ou que le service de maintenance Mozilla est installé et en cours d'exécution, afin qu'il se mette à jour automatiquement.
Microsoft Edge, Internet Explorer et Google Chrome ont également été récemment mis à jour pour corriger cette vulnérabilité.