Firefox 57.0.4 ir izlaists ar Meltdown un Spectre uzbrukuma risinājumu
Mozilla šodien izlaida jaunu pārlūkprogrammas Firefox versiju. Tas piedāvā papildu aizsardzību pret nopietnām drošības problēmām, kas nesen atklātas Intel procesoros. Atjauninātajā laidienā ir risinājums Meltdown un Spectre ievainojamībām.
Ja neesat informēts par Meltdown un Spectre ievainojamībām, mēs tās detalizēti apskatījām šajos divos rakstos:
- Microsoft ievieš ārkārtas labojumus Meltdown un Spectre CPU defektiem
- Šeit ir Windows 7 un 8.1 labojumi Meltdown un Spectre CPU defektiem
Īsāk sakot, gan Meltdown, gan Spectre ievainojamības ļauj procesam nolasīt jebkura cita procesa privātos datus pat ārpus virtuālās mašīnas. Tas ir iespējams, pateicoties tam, kā Intel ir ieviesusi to, kā viņu centrālie procesori iegūst datus. To nevar novērst, tikai labojot OS. Labojums ietver operētājsistēmas kodola atjaunināšanu, kā arī CPU mikrokoda atjauninājumu un, iespējams, pat UEFI/BIOS/programmaparatūras atjauninājumu dažām ierīcēm, lai pilnībā mazinātu izmantošanu.
Uzbrukumu var veikt pat ar JavaScript, izmantojot pārlūkprogrammu. Lai samazinātu uzbrukuma vektoru, Mozilla ir izlaidusi pārlūkprogrammas Firefox atjauninājumu, kas mazina problēmu.
Oficiālajā paziņojumā teikts, ka abi uzbrukumi balstās uz precīzu laiku, tāpēc vairāku laika avotu atspējošana vai precizitātes samazināšana pārlūkprogrammā Firefox palīdz.
The paziņojums saka:
Pilns šīs klases uzbrukuma apjoms joprojām tiek izmeklēts, un mēs sadarbojamies ar drošības pētniekiem un citiem pārlūkprogrammu piegādātājiem, lai pilnībā izprastu draudus un labojumus. Tā kā šī jaunā uzbrukumu klase ietver precīzu laika intervālu mērīšanu, mēs kā daļēju, īslaicīgu mazināšanas līdzekli atspējojam vai samazinām vairāku laika avotu precizitāti pārlūkprogrammā Firefox. Tas ietver gan skaidrus avotus, piemēram, performance.now(), gan netiešus avotus, kas ļauj izveidot augstas izšķirtspējas taimerus, piemēram, SharedArrayBuffer.
Konkrēti, visos laidiena kanālos, sākot ar Firefox 57:
Performance.now() izšķirtspēja tiks samazināta līdz 20 µs.
SharedArrayBuffer līdzeklis pēc noklusējuma ir atspējots.
Tagad ir atjaunināta pārlūkprogrammas Firefox versija pieejams lejupielādei visām atbalstītajām operētājsistēmām un izmantojot automātisko atjaunināšanas sistēmu operētājsistēmā Windows. Ja esat Firefox lietotājs, pārliecinieties, vai esat instalējis jaunāko lietotnes versiju vai arī ir instalēts un darbojas Mozilla uzturēšanas pakalpojums, lai tas tiktu automātiski atjaunināts.
Microsoft Edge, Internet Explorer un Google Chrome nesen tika atjaunināti, lai novērstu šo ievainojamību.
