Rilasciato Firefox 57.0.4 con soluzione alternativa agli attacchi Meltdown e Spectre
Mozilla ha rilasciato oggi una nuova versione del browser Firefox. Offre una protezione aggiuntiva contro i gravi problemi di sicurezza riscontrati di recente nelle CPU Intel. La versione aggiornata ha una soluzione alternativa per le vulnerabilità Meltdown e Spectre.
Annuncio
Se non sei a conoscenza delle vulnerabilità Meltdown e Spectre, le abbiamo trattate in dettaglio in questi due articoli:
- Microsoft sta implementando una correzione di emergenza per i difetti della CPU Meltdown e Spectre
- Ecco le correzioni di Windows 7 e 8.1 per i difetti della CPU Meltdown e Spectre
In breve, sia le vulnerabilità Meltdown che Spectre consentono a un processo di leggere i dati privati di qualsiasi altro processo, anche dall'esterno di una macchina virtuale. Ciò è possibile grazie all'implementazione da parte di Intel di come le loro CPU preletturano i dati. Questo non può essere risolto applicando solo patch al sistema operativo. La correzione prevede l'aggiornamento del kernel del sistema operativo, nonché un aggiornamento del microcodice della CPU e forse anche un aggiornamento UEFI/BIOS/firmware per alcuni dispositivi, per mitigare completamente gli exploit.
L'attacco può essere eseguito anche con JavaScript utilizzando un browser. Al fine di ridurre al minimo il vettore di attacco, Mozilla ha rilasciato un aggiornamento al browser Firefox che mitiga il problema.
L'annuncio ufficiale afferma che entrambi gli attacchi si basano su tempi precisi, quindi disabilitare o ridurre la precisione di diverse fonti temporali in Firefox aiuta.
Il annuncio dice:
L'intera portata di questa classe di attacco è ancora oggetto di indagine e stiamo lavorando con ricercatori sulla sicurezza e altri fornitori di browser per comprendere appieno la minaccia e le soluzioni. Poiché questa nuova classe di attacchi comporta la misurazione di intervalli di tempo precisi, come mitigazione parziale a breve termine, stiamo disabilitando o riducendo la precisione di diverse sorgenti temporali in Firefox. Ciò include sia fonti esplicite, come performance.now(), sia fonti implicite che consentono di creare timer ad alta risoluzione, ad esempio SharedArrayBuffer.
Nello specifico, in tutti i canali di rilascio, a partire da Firefox 57:
La risoluzione di performance.now() sarà ridotta a 20µs.
La funzionalità SharedArrayBuffer è disabilitata per impostazione predefinita.
La versione aggiornata del browser Firefox è ora disponibile per il download per tutti i sistemi operativi supportati e tramite il sistema di aggiornamento automatico su Windows. Se sei un utente Firefox, assicurati di aver installato l'ultima versione dell'app o che il servizio di manutenzione Mozilla sia installato e in esecuzione, quindi si aggiornerà automaticamente.
Microsoft Edge, Internet Explorer e Google Chrome sono stati anche recentemente aggiornati per correggere questa vulnerabilità.