Firefox 57.0.4 objavljen s rješenjem Meltdown i Spectre napada
Mozilla je danas objavila novu verziju svog preglednika Firefox. Nudi dodatnu zaštitu od ozbiljnih sigurnosnih problema nedavno pronađenih u Intelovim procesorima. Ažurirano izdanje ima zaobilazno rješenje za Meltdown i Spectre ranjivosti.
Oglas
Ako niste svjesni ranjivosti Meltdown i Spectre, detaljno smo ih pokrili u ova dva članka:
- Microsoft uvodi hitni popravak za Meltdown i Spectre CPU nedostatke
- Ovdje su Windows 7 i 8.1 popravci za Meltdown i Spectre CPU nedostatke
Ukratko, i Meltdown i Spectre ranjivosti omogućuju procesu čitanje privatnih podataka bilo kojeg drugog procesa, čak i izvan virtualnog stroja. To je moguće zahvaljujući Intelovoj implementaciji načina na koji njihovi procesori unaprijed dohvaćaju podatke. To se ne može popraviti samo zakrpanjem OS-a. Popravak uključuje ažuriranje jezgre OS-a, kao i ažuriranje mikrokoda CPU-a i možda čak i ažuriranje UEFI/BIOS-a/firmwarea za neke uređaje, kako bi se u potpunosti ublažili eksploatacije.
Napad se može izvesti čak i s JavaScriptom pomoću preglednika. Kako bi minimizirala vektor napada, Mozilla je objavila ažuriranje preglednika Firefox koje ublažava problem.
Službena objava tvrdi da se oba napada oslanjaju na precizno mjerenje vremena, pa pomaže onemogućavanje ili smanjenje preciznosti nekoliko izvora vremena u Firefoxu.
The Obavijest kaže:
Puni opseg ove klase napada još je pod istragom i radimo s istraživačima sigurnosti i drugim dobavljačima preglednika kako bismo u potpunosti razumjeli prijetnju i popravke. Budući da ova nova klasa napada uključuje mjerenje preciznih vremenskih intervala, kao djelomično, kratkoročno, ublažavanje onemogućavamo ili smanjujemo preciznost nekoliko izvora vremena u Firefoxu. To uključuje eksplicitne izvore, kao što je performance.now(), i implicitne izvore koji omogućuju izradu mjerača vremena visoke razlučivosti, odnosno SharedArrayBuffer.
Točnije, u svim kanalima izdanja, počevši od Firefoxa 57:
Razlučivost izvedbe.now() bit će smanjena na 20µs.
Značajka SharedArrayBuffer onemogućena je prema zadanim postavkama.
Sada je ažurirana verzija preglednika Firefox dostupno za preuzimanje za sve podržane operacijske sustave i putem automatskog ažuriranja sustava Windows. Ako ste korisnik Firefoxa, provjerite jeste li instalirali najnoviju verziju aplikacije ili je Mozilla Maintenance Service instalirana i pokrenuta, tako da će se automatski ažurirati.
Microsoft Edge, Internet Explorer i Google Chrome također su nedavno ažurirani kako bi se popravila ova ranjivost.
