Firefox 57.0.4 lançado com solução alternativa de ataque Meltdown e Spectre

A Mozilla lançou hoje uma nova versão de seu navegador Firefox. Ele oferece proteção extra contra os graves problemas de segurança encontrados recentemente nas CPUs da Intel. A versão atualizada tem uma solução alternativa para as vulnerabilidades Meltdown e Spectre.

Se você não está ciente das vulnerabilidades Meltdown e Spectre, nós as cobrimos em detalhes nestes dois artigos:

• A Microsoft está lançando uma correção de emergência para falhas de CPU de Meltdown e Spectre
• Aqui estão as correções do Windows 7 e 8.1 para falhas de CPU de Meltdown e Spectre

Resumindo, as vulnerabilidades Meltdown e Spectre permitem que um processo leia os dados privados de qualquer outro processo, mesmo de fora de uma máquina virtual. Isso é possível devido à implementação da Intel de como suas CPUs pré-buscam dados. Isso não pode ser corrigido apenas com o patch do sistema operacional. A correção envolve a atualização do kernel do sistema operacional, bem como uma atualização do microcódigo da CPU e possivelmente até mesmo uma atualização de UEFI / BIOS / firmware para alguns dispositivos, para mitigar totalmente os exploits.

O ataque pode ser executado mesmo com JavaScript usando um navegador. Para minimizar o vetor de ataque, a Mozilla lançou uma atualização para o navegador Firefox que atenua o problema.

O anúncio oficial afirma que ambos os ataques dependem de um tempo preciso, portanto, desabilitar ou reduzir a precisão de várias fontes de tempo no Firefox ajuda.

o anúncio diz:

A extensão total dessa classe de ataque ainda está sob investigação e estamos trabalhando com pesquisadores de segurança e outros fornecedores de navegadores para entender completamente a ameaça e as correções. Como essa nova classe de ataques envolve a medição de intervalos de tempo precisos, como uma mitigação parcial e de curto prazo, estamos desabilitando ou reduzindo a precisão de várias fontes de tempo no Firefox. Isso inclui fontes explícitas, como performance.now (), e fontes implícitas que permitem a construção de timers de alta resolução, viz., SharedArrayBuffer.

Especificamente, em todos os canais de lançamento, começando com o Firefox 57:

A resolução de performance.now () será reduzida para 20µs.
O recurso SharedArrayBuffer está sendo desabilitado por padrão.

A versão atualizada do navegador Firefox é agora disponível para download para todos os sistemas operacionais suportados e por meio do sistema de atualização automática no Windows. Se você for um usuário do Firefox, certifique-se de que instalou a versão mais recente do aplicativo ou o Mozilla Maintenance Service está instalado e em execução, para que seja atualizado automaticamente.

Microsoft Edge, Internet Explorer e Google Chrome também foram atualizados recentemente para corrigir essa vulnerabilidade.