„Firefox 57.0.4“ išleista su „Meltdown“ ir „Spectre atakų“ sprendimu
„Mozilla“ šiandien išleido naują „Firefox“ naršyklės versiją. Jis siūlo papildomą apsaugą nuo rimtų saugumo problemų, neseniai aptiktų „Intel“ procesoriuose. Atnaujintame leidime yra „Meltdown“ ir „Spectre“ pažeidžiamumo sprendimas.
Skelbimas
Jei nežinote apie „Meltdown“ ir „Spectre“ pažeidžiamumą, mes juos išsamiai aprašėme šiuose dviejuose straipsniuose:
- „Microsoft“ išleidžia avarinį „Meltdown“ ir „Spectre“ procesoriaus trūkumų pataisymą
- Štai „Windows 7“ ir „Windows 8.1“ Meltdown ir Spectre CPU trūkumų pataisymai
Trumpai tariant, tiek Meltdown, tiek Spectre pažeidžiamumas leidžia procesui nuskaityti bet kurio kito proceso privačius duomenis, net ir ne virtualioje mašinoje. Tai įmanoma dėl to, kad „Intel“ įdiegė, kaip jų CPU iš anksto gauna duomenis. To negalima išspręsti pataisius tik OS. Pataisymas apima OS branduolio atnaujinimą, taip pat procesoriaus mikrokodo atnaujinimą ir galbūt net UEFI / BIOS / programinės įrangos naujinimą kai kuriems įrenginiams, kad būtų visiškai sumažintas išnaudojimas.
Ataka gali būti vykdoma net naudojant „JavaScript“ naudojant naršyklę. Siekdama sumažinti atakos vektorių, „Mozilla“ išleido „Firefox“ naršyklės naujinį, kuris sumažina problemą.
Oficialiame pranešime teigiama, kad abi atakos priklauso nuo tikslaus laiko, todėl kelių laiko šaltinių išjungimas arba tikslumo sumažinimas „Firefox“ padeda.
The skelbimas sako:
Visas šios klasės atakų mastas vis dar tiriamas, todėl bendradarbiaujame su saugumo tyrinėtojais ir kitais naršyklių pardavėjais, kad suprastume grėsmę ir pataisymus. Kadangi ši nauja atakų klasė apima tikslių laiko intervalų matavimą, kaip dalinį trumpalaikį sušvelninimą išjungiame arba sumažiname kelių laiko šaltinių tikslumą „Firefox“. Tai apima ir aiškius šaltinius, pvz., performance.now(), ir numanomus šaltinius, leidžiančius kurti didelės raiškos laikmačius, pvz., SharedArrayBuffer.
Tiksliau, visuose išleidimo kanaluose, pradedant nuo „Firefox 57“:
Performance.now() skiriamoji geba bus sumažinta iki 20 µs.
Pagal numatytuosius nustatymus „ShardArrayBuffer“ funkcija yra išjungta.
Dabar yra atnaujinta „Firefox“ naršyklės versija galima atsisiųsti visoms palaikomoms operacinėms sistemoms ir naudojant „Windows“ automatinio naujinimo sistemą. Jei esate „Firefox“ naudotojas, įsitikinkite, kad įdiegėte naujausią programos versiją arba įdiegta ir veikia „Mozilla Maintenance Service“, kad ji būtų atnaujinta automatiškai.
„Microsoft Edge“, „Internet Explorer“ ir Google Chrome taip pat neseniai buvo atnaujinti, kad būtų pašalintas šis pažeidžiamumas.
