Meltdown 및 Spectre 공격 해결 방법과 함께 출시된 Firefox 57.0.4

Mozilla는 오늘 Firefox 브라우저의 새 버전을 출시했습니다. 최근 Intel CPU에서 발견된 심각한 보안 문제에 대한 추가 보호 기능을 제공합니다. 업데이트된 릴리스에는 Meltdown 및 Spectre 취약점에 대한 해결 방법이 있습니다.

Meltdown 및 Spectre 취약점에 대해 잘 모르는 경우 다음 두 문서에서 자세히 다루었습니다.

• Microsoft는 Meltdown 및 Spectre CPU 결함에 대한 긴급 수정 사항을 배포하고 있습니다.
• 다음은 Meltdown 및 Spectre CPU 결함에 대한 Windows 7 및 8.1 수정 사항입니다.

간단히 말해서, Meltdown 및 Spectre 취약점은 프로세스가 가상 머신 외부에서도 다른 프로세스의 개인 데이터를 읽을 수 있도록 합니다. 이것은 CPU가 데이터를 프리페치하는 방식에 대한 인텔의 구현으로 인해 가능합니다. OS 패치만으로는 해결할 수 없습니다. 수정에는 OS 커널 업데이트와 CPU 마이크로코드 업데이트, 일부 장치에 대한 UEFI/BIOS/펌웨어 업데이트가 포함되어 익스플로잇을 완전히 완화합니다.

브라우저를 사용하는 JavaScript로도 공격이 가능합니다. 공격 벡터를 최소화하기 위해 Mozilla는 문제를 완화하는 Firefox 브라우저 업데이트를 출시했습니다.

공식 발표는 두 공격 모두 정확한 타이밍에 의존하므로 Firefox에서 여러 시간 소스의 정밀도를 비활성화하거나 줄이는 것이 도움이 된다고 주장합니다.

NS 발표 말한다:

이 공격 클래스의 전체 범위는 아직 조사 중이며 보안 연구원 및 기타 브라우저 공급업체와 협력하여 위협 및 수정 사항을 완전히 이해하고 있습니다. 이 새로운 유형의 공격에는 정확한 시간 간격 측정이 포함되므로 부분적, 단기적 완화로 Firefox에서 여러 시간 소스의 정밀도를 비활성화하거나 줄입니다. 여기에는 performance.now()와 같은 명시적 소스와 고해상도 타이머, 즉 SharedArrayBuffer를 빌드할 수 있는 암시적 소스가 모두 포함됩니다.

특히 Firefox 57부터 모든 릴리스 채널에서:

performance.now()의 분해능은 20µs로 감소합니다.
SharedArrayBuffer 기능은 기본적으로 비활성화되어 있습니다.

Firefox 브라우저의 업데이트된 버전은 현재 다운로드 가능 지원되는 모든 운영 체제 및 Windows의 자동 업데이트 시스템을 통해 Firefox 사용자인 경우 최신 버전의 앱을 설치했는지 또는 Mozilla 유지 관리 서비스가 설치되어 실행 중인지 확인하십시오. 그러면 자동으로 업데이트됩니다.

마이크로소프트 엣지, 인터넷 익스플로러 및 구글 크롬 이 취약점을 수정하기 위해 최근에 업데이트되었습니다.