Firefox 57.0.4 uitgebracht met oplossing voor Meltdown- en Spectre-aanval
Mozilla heeft vandaag een nieuwe versie van hun Firefox-browser uitgebracht. Het biedt extra bescherming tegen de ernstige beveiligingsproblemen die recentelijk zijn aangetroffen in Intel-CPU's. De bijgewerkte release heeft een oplossing voor Meltdown- en Spectre-kwetsbaarheden.
Als je niet op de hoogte bent van de Meltdown- en Spectre-kwetsbaarheden, hebben we ze in detail besproken in deze twee artikelen:
- Microsoft rolt noodoplossing uit voor Meltdown en Spectre CPU-fouten
- Hier zijn Windows 7 en 8.1 fixes voor Meltdown en Spectre CPU-fouten
Kortom, door zowel Meltdown- als Spectre-kwetsbaarheden kan een proces de privégegevens van elk ander proces lezen, zelfs van buiten een virtuele machine. Dit is mogelijk dankzij Intel's implementatie van hoe hun CPU's gegevens prefetchen. Dit kan niet worden opgelost door alleen het besturingssysteem te patchen. De oplossing omvat het updaten van de OS-kernel, evenals een CPU-microcode-update en mogelijk zelfs een UEFI/BIOS/firmware-update voor sommige apparaten, om de exploits volledig te verminderen.
De aanval kan zelfs worden uitgevoerd met JavaScript via een browser. Om de aanvalsvector te minimaliseren, heeft Mozilla een update voor de Firefox-browser uitgebracht die het probleem verhelpt.
De officiële aankondiging beweert dat beide aanvallen afhankelijk zijn van nauwkeurige timing, dus het uitschakelen of verminderen van de precisie van verschillende tijdbronnen in Firefox helpt.
De Aankondiging zegt:
De volledige omvang van deze aanvalsklasse wordt nog onderzocht en we werken samen met beveiligingsonderzoekers en andere browserleveranciers om de dreiging en oplossingen volledig te begrijpen. Aangezien deze nieuwe klasse van aanvallen het meten van nauwkeurige tijdsintervallen omvat, als een gedeeltelijke, korte termijn beperking, schakelen we de precisie van verschillende tijdbronnen in Firefox uit of verminderen we deze. Dit omvat zowel expliciete bronnen, zoals performance.now(), als impliciete bronnen waarmee timers met een hoge resolutie kunnen worden gebouwd, namelijk SharedArrayBuffer.
Specifiek, in alle releasekanalen, te beginnen met Firefox 57:
De resolutie van performance.now() wordt teruggebracht tot 20µs.
De SharedArrayBuffer-functie is standaard uitgeschakeld.
De bijgewerkte versie van de Firefox-browser is nu beschikbaar om te downloaden voor alle ondersteunde besturingssystemen en via het automatische updatesysteem op Windows. Als u een Firefox-gebruiker bent, zorg er dan voor dat u de nieuwste versie van de app hebt geïnstalleerd, of dat de Mozilla-onderhoudsservice is geïnstalleerd en actief is, zodat deze automatisch wordt bijgewerkt.
Microsoft Edge, Internet Explorer en Google Chrome zijn onlangs ook bijgewerkt om dit beveiligingslek te verhelpen.
