Firefox 57.0.4 utgitt med Meltdown og Spectre-angrepsløsning
Mozilla lanserte i dag en ny versjon av Firefox-nettleseren deres. Den gir ekstra beskyttelse mot de alvorlige sikkerhetsproblemene som nylig ble funnet i Intel CPUer. Den oppdaterte utgivelsen har en løsning for Meltdown- og Spectre-sårbarheter.
Annonse
Hvis du ikke er klar over Meltdown- og Spectre-sårbarhetene, har vi dekket dem i detalj i disse to artiklene:
- Microsoft ruller ut nødløsning for Meltdown og Spectre CPU-feil
- Her er Windows 7 og 8.1 reparasjoner for Meltdown og Spectre CPU-feil
Kort sagt, både Meltdown- og Spectre-sårbarheter lar en prosess lese de private dataene til enhver annen prosess, selv fra utenfor en virtuell maskin. Dette er mulig på grunn av Intels implementering av hvordan CPU-ene forhåndshenter data. Dette kan ikke fikses kun ved å lappe operativsystemet. Løsningen innebærer oppdatering av OS-kjernen, samt en CPU-mikrokodeoppdatering og muligens til og med en UEFI/BIOS/fastvareoppdatering for enkelte enheter, for å redusere utnyttelsene fullt ut.
Angrepet kan utføres selv med JavaScript ved å bruke en nettleser. For å minimere angrepsvektoren har Mozilla gitt ut en oppdatering til Firefox-nettleseren som reduserer problemet.
Den offisielle kunngjøringen hevder at begge angrepene er avhengige av presis timing, så det hjelper å deaktivere eller redusere presisjonen til flere tidskilder i Firefox.
De kunngjøring sier:
Det fulle omfanget av denne klassen av angrep er fortsatt under etterforskning, og vi jobber med sikkerhetsforskere og andre nettleserleverandører for å forstå trusselen og rettelsene fullt ut. Siden denne nye klassen av angrep involverer måling av nøyaktige tidsintervaller, som en delvis, kortsiktig, avbøtende avbøtelse, deaktiverer eller reduserer vi presisjonen til flere tidskilder i Firefox. Dette inkluderer både eksplisitte kilder, som performance.now(), og implisitte kilder som tillater å bygge høyoppløselige timere, nemlig SharedArrayBuffer.
Nærmere bestemt, i alle utgivelseskanaler, fra og med Firefox 57:
Oppløsningen til performance.now() vil bli redusert til 20µs.
SharedArrayBuffer-funksjonen blir deaktivert som standard.
Den oppdaterte versjonen av Firefox-nettleseren er nå tilgjengelig for nedlasting for alle støttede operativsystemer og via det automatiske oppdateringssystemet på Windows. Hvis du er en Firefox-bruker, sørg for at du har installert den nyeste versjonen av appen, eller at Mozilla Maintenance Service er installert og kjører, slik at den oppdateres automatisk.
Microsoft Edge, Internet Explorer og Google Chrome ble også nylig oppdatert for å fikse dette sikkerhetsproblemet.
