फ़ायरफ़ॉक्स 57.0.4 मेल्टडाउन और स्पेक्टर अटैक वर्कअराउंड के साथ जारी किया गया
Mozilla ने आज अपने Firefox ब्राउज़र का एक नया संस्करण जारी किया। यह हाल ही में इंटेल सीपीयू में पाए गए गंभीर सुरक्षा मुद्दों के खिलाफ अतिरिक्त सुरक्षा प्रदान करता है। अद्यतन रिलीज़ में मेल्टडाउन और स्पेक्टर भेद्यताओं के लिए एक वैकल्पिक हल है।
यदि आप मेल्टडाउन और स्पेक्टर कमजोरियों के बारे में नहीं जानते हैं, तो हमने इन दो लेखों में उन्हें विस्तार से कवर किया है:
- Microsoft मेल्टडाउन और स्पेक्टर CPU दोषों के लिए आपातकालीन सुधार कर रहा है
- यहां मेल्टडाउन और स्पेक्टर सीपीयू खामियों के लिए विंडोज 7 और 8.1 फिक्स हैं
संक्षेप में, मेल्टडाउन और स्पेक्टर दोनों कमजोरियां एक प्रक्रिया को किसी अन्य प्रक्रिया के निजी डेटा को पढ़ने की अनुमति देती हैं, यहां तक कि एक वर्चुअल मशीन के बाहर से भी। यह इंटेल के कार्यान्वयन के कारण संभव है कि कैसे उनके सीपीयू डेटा को प्रीफेच करते हैं। इसे केवल OS को पैच करके ठीक नहीं किया जा सकता है। फिक्स में ओएस कर्नेल को अपडेट करना, साथ ही एक सीपीयू माइक्रोकोड अपडेट और संभवत: कुछ उपकरणों के लिए यूईएफआई/बीआईओएस/फर्मवेयर अपडेट भी शामिल है, ताकि शोषण को पूरी तरह से कम किया जा सके।
ब्राउज़र का उपयोग करके जावास्क्रिप्ट के साथ भी हमला किया जा सकता है। हमले के वेक्टर को कम करने के लिए, मोज़िला ने फ़ायरफ़ॉक्स ब्राउज़र के लिए एक अपडेट जारी किया है जो समस्या को कम करता है।
आधिकारिक घोषणा का दावा है कि दोनों हमले सटीक समय पर निर्भर करते हैं, इसलिए फ़ायरफ़ॉक्स में कई समय स्रोतों की सटीकता को अक्षम या कम करने से मदद मिलती है।
NS मुनादी करना कहते हैं:
हमले के इस वर्ग की पूरी सीमा अभी भी जांच के दायरे में है और हम सुरक्षा शोधकर्ताओं और अन्य ब्राउज़र विक्रेताओं के साथ खतरे और सुधारों को पूरी तरह से समझने के लिए काम कर रहे हैं। चूंकि हमलों के इस नए वर्ग में सटीक समय अंतराल को मापना शामिल है, आंशिक, अल्पकालिक, शमन के रूप में हम फ़ायरफ़ॉक्स में कई समय स्रोतों की सटीकता को अक्षम या कम कर रहे हैं। इसमें दोनों स्पष्ट स्रोत शामिल हैं, जैसे performance.now(), और निहित स्रोत जो उच्च-रिज़ॉल्यूशन टाइमर बनाने की अनुमति देते हैं, जैसे, SharedArrayBuffer।
विशेष रूप से, सभी रिलीज़ चैनलों में, Firefox 57 से शुरू होकर:
प्रदर्शन का संकल्प। अब () 20μs तक कम हो जाएगा।
SharedArrayBuffer सुविधा को डिफ़ॉल्ट रूप से अक्षम किया जा रहा है।
फ़ायरफ़ॉक्स ब्राउज़र का अद्यतन संस्करण अब है डाउनलोड के लिए उपलब्ध है सभी समर्थित ऑपरेटिंग सिस्टम के लिए और विंडोज़ पर स्वचालित अपडेट सिस्टम के माध्यम से। यदि आप एक फ़ायरफ़ॉक्स उपयोगकर्ता हैं, तो सुनिश्चित करें कि आपने ऐप का नवीनतम संस्करण स्थापित किया है, या मोज़िला रखरखाव सेवा स्थापित और चल रही है, इसलिए यह स्वचालित रूप से अपडेट हो जाएगी।
माइक्रोसॉफ्ट एज, इंटरनेट एक्सप्लोरर और गूगल क्रोम इस भेद्यता को ठीक करने के लिए हाल ही में अद्यतन भी किए गए थे।