Megjelent a Firefox 57.0.4 Meltdown és Specter attack megoldással
A Mozilla ma kiadta Firefox böngészőjének új verzióját. Extra védelmet nyújt az Intel CPU-kban nemrégiben észlelt súlyos biztonsági problémák ellen. A frissített kiadás megoldást kínál a Meltdown és a Specter sebezhetőségeire.
Ha nem ismeri a Meltdown és a Spectre sebezhetőségét, ebben a két cikkben részletesen foglalkoztunk velük:
- A Microsoft sürgősségi javítást vezet be a Meltdown és a Spectre CPU hibáira
- Íme a Windows 7 és 8.1 javításai a Meltdown és a Spectre CPU hibáira
Röviden, mind a Meltdown, mind a Spectre sebezhetősége lehetővé teszi a folyamat számára, hogy beolvassa bármely más folyamat privát adatait, még a virtuális gépen kívülről is. Ez annak köszönhető, hogy az Intel úgy valósítja meg, hogy a CPU-k előlekérik az adatokat. Ez nem javítható csak az operációs rendszer javításával. A javítás magában foglalja az operációs rendszer kernelének frissítését, valamint egy CPU-mikrokód frissítést, és esetleg még egy UEFI/BIOS/firmware-frissítést is egyes eszközökhöz, hogy teljes mértékben csökkentsék a kizsákmányolást.
A támadás akár JavaScript segítségével is végrehajtható böngésző segítségével. A támadási vektor minimalizálása érdekében a Mozilla frissítést adott ki a Firefox böngészőhöz, amely enyhíti a problémát.
A hivatalos közlemény azt állítja, hogy mindkét támadás a pontos időzítésen alapul, így több időforrás letiltása vagy pontosságának csökkentése a Firefoxban segít.
Az közlemény mondja:
A támadás ezen osztályának teljes terjedelmét még vizsgálják, és biztonsági kutatókkal és más böngészőgyártókkal dolgozunk, hogy teljes mértékben megértsük a fenyegetést és a javításokat. Mivel a támadások ezen új osztálya pontos időintervallumok mérését foglalja magában, részleges, rövid távú enyhítésként több időforrást letiltunk vagy csökkentünk a Firefoxban. Ez magában foglalja mind az explicit forrásokat, mint a performance.now(), mind az implicit forrásokat, amelyek lehetővé teszik a nagy felbontású időzítők létrehozását, például a SharedArrayBuffert.
Pontosabban az összes kiadási csatornán, a Firefox 57-től kezdve:
A performance.now() felbontása 20 µs-ra csökken.
A SharedArrayBuffer szolgáltatás alapértelmezés szerint le van tiltva.
Megjelent a Firefox böngésző frissített verziója letölthető minden támogatott operációs rendszerhez és a Windows automatikus frissítési rendszerén keresztül. Ha Ön Firefox felhasználó, győződjön meg arról, hogy az alkalmazás legújabb verzióját telepítette, vagy a Mozilla Maintenance Service telepítve van és fut, így az automatikusan frissül.
Microsoft Edge, Internet Explorer és Google Chrome szintén nemrégiben frissítették a biztonsági rés kijavítása érdekében.