Wydano Firefox 57.0.4 z obejściem ataku Meltdown i Spectre

Mozilla wydała dziś nową wersję swojej przeglądarki Firefox. Oferuje dodatkową ochronę przed poważnymi problemami bezpieczeństwa wykrytymi ostatnio w procesorach Intela. Zaktualizowane wydanie zawiera obejście luk w zabezpieczeniach Meltdown i Spectre.

Jeśli nie znasz luk w zabezpieczeniach Meltdown i Spectre, omówiliśmy je szczegółowo w tych dwóch artykułach:

• Microsoft wprowadza awaryjną poprawkę usterek procesorów Meltdown i Spectre
• Oto poprawki Windows 7 i 8.1 dla usterek procesorów Meltdown i Spectre

Krótko mówiąc, zarówno luki Meltdown, jak i Spectre umożliwiają procesowi odczytywanie prywatnych danych dowolnego innego procesu, nawet spoza maszyny wirtualnej. Jest to możliwe dzięki implementacji przez Intela sposobu, w jaki ich procesory wstępnie pobierają dane. Nie można tego naprawić, instalując tylko poprawki systemu operacyjnego. Poprawka obejmuje aktualizację jądra systemu operacyjnego, a także aktualizację mikrokodu procesora, a być może nawet aktualizację UEFI/BIOS/firmware dla niektórych urządzeń, aby w pełni złagodzić exploity.

Atak można przeprowadzić nawet za pomocą JavaScript za pomocą przeglądarki. Aby zminimalizować wektor ataku, Mozilla wydała aktualizację przeglądarki Firefox, która łagodzi problem.

Oficjalne ogłoszenie twierdzi, że oba ataki opierają się na precyzyjnym czasie, więc wyłączenie lub zmniejszenie precyzji kilku źródeł czasu w Firefoksie pomaga.

ten zapowiedź mówi:

Pełny zakres ataku tej klasy jest nadal badany i współpracujemy z badaczami bezpieczeństwa i innymi dostawcami przeglądarek, aby w pełni zrozumieć zagrożenie i poprawki. Ponieważ ta nowa klasa ataków polega na dokładnym pomiarze odstępów czasu, jako częściowe, krótkoterminowe łagodzenie, wyłączamy lub zmniejszamy precyzję kilku źródeł czasu w Firefoksie. Obejmuje to zarówno źródła jawne, takie jak performance.now(), jak i źródła niejawne, które umożliwiają budowanie timerów o wysokiej rozdzielczości, a mianowicie SharedArrayBuffer.

W szczególności we wszystkich kanałach wydań, począwszy od Firefoksa 57:

Rozdzielczość performance.now() zostanie zmniejszona do 20 µs.
Funkcja SharedArrayBuffer jest domyślnie wyłączona.

Zaktualizowana wersja przeglądarki Firefox jest teraz dostępny do pobrania dla wszystkich obsługiwanych systemów operacyjnych oraz za pośrednictwem systemu automatycznej aktualizacji w systemie Windows. Jeśli jesteś użytkownikiem Firefoksa, upewnij się, że masz zainstalowaną najnowszą wersję aplikacji lub usługa konserwacji Mozilla jest zainstalowana i uruchomiona, aby zaktualizowała się automatycznie.

Microsoft Edge, Internet Explorer i Google Chrome zostały również niedawno zaktualizowane, aby naprawić tę lukę.