Firefox 57.0.4 שוחרר עם פתרון מתקפת Meltdown ו-Spectre
מוזילה פרסמה היום גרסה חדשה של דפדפן Firefox שלהם. הוא מציע הגנה נוספת מפני בעיות האבטחה החמורות שנמצאו לאחרונה במעבדי אינטל. במהדורה המעודכנת יש פתרון לעקוף פגיעויות של Meltdown ו-Spectre.
אם אינך מודע לנקודות התורפה של Meltdown ו-Spectre, כיסינו אותן בפירוט בשני המאמרים הבאים:
- מיקרוסופט מוציאה תיקון חירום לפגמים במעבד Meltdown ו-Spectre
- להלן תיקוני Windows 7 ו-8.1 עבור פגמים במעבד Meltdown ו-Spectre
בקיצור, גם פרצות Meltdown וגם Spectre מאפשרות לתהליך לקרוא את הנתונים הפרטיים של כל תהליך אחר, אפילו מחוץ למכונה וירטואלית. זה אפשרי בגלל היישום של אינטל של האופן שבו המעבדים שלהם משחזרים נתונים מראש. לא ניתן לתקן זאת על ידי תיקון מערכת ההפעלה בלבד. התיקון כולל עדכון ליבת מערכת ההפעלה, כמו גם עדכון מיקרוקוד של המעבד ואולי אפילו עדכון UEFI/BIOS/קושחה עבור חלק מהמכשירים, כדי להפחית את הניצול במלואו.
ניתן לבצע את ההתקפה אפילו עם JavaScript באמצעות דפדפן. על מנת למזער את וקטור ההתקפה, מוזילה פרסמה עדכון לדפדפן Firefox אשר מקל על הבעיה.
ההודעה הרשמית טוענת ששתי ההתקפות מסתמכות על תזמון מדויק, ולכן השבתה או הפחתה של הדיוק של מספר מקורות זמן בפיירפוקס עוזרת.
ה הַכרָזָה אומר:
ההיקף המלא של סוג ההתקפה הזה עדיין בחקירה ואנו עובדים עם חוקרי אבטחה וספקי דפדפנים אחרים כדי להבין את האיום והתיקונים במלואם. מכיוון שסוג התקפות חדש זה כרוך במדידת מרווחי זמן מדויקים, כהפחתה חלקית, קצרת טווח, אנו משביתים או מפחיתים את הדיוק של מספר מקורות זמן בפיירפוקס. זה כולל גם מקורות מפורשים, כמו performance.now(), וגם מקורות מרומזים המאפשרים בניית טיימרים ברזולוציה גבוהה, כלומר SharedArrayBuffer.
באופן ספציפי, בכל ערוצי ההפצה, החל מ-Firefox 57:
הרזולוציה של performance.now() תופחת ל-20µs.
תכונת SharedArrayBuffer מושבתת כברירת מחדל.
הגרסה המעודכנת של דפדפן Firefox היא כעת זמין להורדה לכל מערכות ההפעלה הנתמכות ובאמצעות מערכת העדכונים האוטומטית ב-Windows. אם אתה משתמש Firefox, ודא שהתקנת את הגרסה העדכנית ביותר של האפליקציה, או ששירות התחזוקה של Mozilla מותקן ופועל, כך שהוא יתעדכן אוטומטית.
Microsoft Edge, Internet Explorer ו גוגל כרום עודכנו לאחרונה גם כדי לתקן את הפגיעות הזו.
