Firefox 57.0.4 გამოვიდა Meltdown და Spectre თავდასხმის გამოსავალი

Mozilla-მ დღეს გამოუშვა Firefox ბრაუზერის ახალი ვერსია. ის გთავაზობთ დამატებით დაცვას უსაფრთხოების სერიოზული პრობლემებისგან, რომლებიც ახლახანს აღმოჩენილია Intel CPU-ებში. განახლებულ გამოშვებას აქვს გამოსავალი Meltdown და Spectre დაუცველობისთვის.

თუ არ იცით Meltdown-ისა და Spectre-ის დაუცველობის შესახებ, ჩვენ მათ დეტალურად განვიხილეთ ამ ორ სტატიაში:

• Microsoft ახორციელებს გადაუდებელ გამოსწორებას Meltdown-ისა და Spectre CPU-ის ხარვეზებისთვის
• აქ არის Windows 7 და 8.1-ის შესწორებები Meltdown-ისა და Spectre CPU-ის ხარვეზებისთვის

მოკლედ, ორივე Meltdown და Spectre დაუცველობა საშუალებას აძლევს პროცესს წაიკითხოს ნებისმიერი სხვა პროცესის პირადი მონაცემები, თუნდაც ვირტუალური მანქანის გარედან. ეს შესაძლებელია იმის გამო, რომ Intel-მა აჩვენა, თუ როგორ ახდენენ მათი CPU-ების მონაცემების წინასწარ ამოღება. ამის გამოსწორება შეუძლებელია მხოლოდ OS-ის შესწორებით. გამოსწორება მოიცავს OS-ის ბირთვის განახლებას, ასევე CPU-ის მიკროკოდის განახლებას და შესაძლოა UEFI/BIOS/firmware განახლებასაც კი ზოგიერთი მოწყობილობისთვის, ექსპლოიტების სრულად შესამცირებლად.

შეტევა შეიძლება განხორციელდეს JavaScript-ითაც კი, ბრაუზერის გამოყენებით. შეტევის ვექტორის მინიმიზაციის მიზნით, Mozilla-მ გამოუშვა Firefox ბრაუზერის განახლება, რომელიც ამსუბუქებს საკითხს.

ოფიციალური განცხადება ირწმუნება, რომ ორივე შეტევა ეყრდნობა ზუსტ დროს, ამიტომ Firefox-ში რამდენიმე დროის წყაროს სიზუსტის გამორთვა ან სიზუსტის შემცირება ეხმარება.

The განცხადება ამბობს:

ამ კლასის თავდასხმის სრული მასშტაბები ჯერ კიდევ გამოძიების პროცესშია და ჩვენ ვმუშაობთ უსაფრთხოების მკვლევარებთან და ბრაუზერის სხვა მომწოდებლებთან, რათა სრულად გავიგოთ საფრთხე და გამოსწორდეს. ვინაიდან შეტევების ეს ახალი კლასი გულისხმობს ზუსტი დროის ინტერვალების გაზომვას, როგორც ნაწილობრივი, მოკლევადიანი შემარბილებელი საშუალება, ჩვენ ვაუქმებთ ან ვამცირებთ დროის რამდენიმე წყაროს სიზუსტეს Firefox-ში. ეს მოიცავს როგორც გამოკვეთილ წყაროებს, როგორიცაა performance.now(), ასევე იმპლიციტურ წყაროებს, რომლებიც საშუალებას გაძლევთ შექმნათ მაღალი გარჩევადობის ქრონომეტრები, მაგალითად, SharedArrayBuffer.

კონკრეტულად, ყველა გამოშვების არხში, Firefox 57-ით დაწყებული:

performance.now() გარჩევადობა შემცირდება 20µs-მდე.
SharedArrayBuffer ფუნქცია გამორთულია ნაგულისხმევად.

Firefox ბრაუზერის განახლებული ვერსია ახლა არის ხელმისაწვდომია ჩამოსატვირთად ყველა მხარდაჭერილი ოპერაციული სისტემისთვის და Windows-ზე ავტომატური განახლების სისტემის მეშვეობით. თუ Firefox-ის მომხმარებელი ხართ, დარწმუნდით, რომ დააინსტალირეთ აპლიკაციის უახლესი ვერსია, ან Mozilla Maintenance Service დაინსტალირებულია და მუშაობს, ასე რომ ის ავტომატურად განახლდება.

Microsoft Edge, Internet Explorer და გუგლ ქრომი ასევე ცოტა ხნის წინ განახლდა ამ დაუცველობის გამოსასწორებლად.