Firefox 57.0.4 a fost lansat cu soluție de atac Meltdown și Spectre
Mozilla a lansat astăzi o nouă versiune a browserului său Firefox. Oferă protecție suplimentară împotriva problemelor grave de securitate găsite recent în procesoarele Intel. Versiunea actualizată are o soluție pentru vulnerabilitățile Meltdown și Spectre.
Publicitate
Dacă nu știți despre vulnerabilitățile Meltdown și Spectre, le-am acoperit în detaliu în aceste două articole:
- Microsoft lansează o remediere de urgență pentru defecțiunile CPU Meltdown și Spectre
- Iată remedieri pentru Windows 7 și 8.1 pentru defectele CPU Meltdown și Spectre
Pe scurt, ambele vulnerabilități Meltdown și Spectre permit unui proces să citească datele private ale oricărui alt proces, chiar și din afara unei mașini virtuale. Acest lucru este posibil datorită implementării de către Intel a modului în care procesoarele lor prealcă datele. Acest lucru nu poate fi rezolvat numai prin corecțiile sistemului de operare. Remedierea implică actualizarea nucleului sistemului de operare, precum și o actualizare a microcodului procesorului și, eventual, chiar o actualizare UEFI/BIOS/firmware pentru unele dispozitive, pentru a atenua complet exploatările.
Atacul poate fi efectuat chiar și cu JavaScript folosind un browser. Pentru a minimiza vectorul de atac, Mozilla a lansat o actualizare a browserului Firefox care atenuează problema.
Anunțul oficial susține că ambele atacuri se bazează pe sincronizare precisă, așa că dezactivarea sau reducerea preciziei mai multor surse de timp în Firefox ajută.
The anunţ spune:
Amploarea completă a acestei clase de atac este încă în curs de investigare și lucrăm cu cercetători de securitate și alți furnizori de browsere pentru a înțelege pe deplin amenințarea și remedierea. Deoarece această nouă clasă de atacuri implică măsurarea unor intervale de timp precise, ca atenuare parțială, pe termen scurt, dezactivăm sau reducem precizia mai multor surse de timp în Firefox. Aceasta include atât surse explicite, cum ar fi performance.now(), cât și surse implicite care permit construirea de temporizatoare de înaltă rezoluție, adică SharedArrayBuffer.
Mai exact, în toate canalele de lansare, începând cu Firefox 57:
Rezoluția performance.now() va fi redusă la 20µs.
Caracteristica SharedArrayBuffer este dezactivată în mod implicit.
Versiunea actualizată a browserului Firefox este acum disponibil pentru descărcare pentru toate sistemele de operare acceptate și prin sistemul de actualizare automată pe Windows. Dacă sunteți utilizator Firefox, asigurați-vă că ați instalat cea mai recentă versiune a aplicației sau că Mozilla Maintenance Service este instalat și rulează, astfel încât se va actualiza automat.
Microsoft Edge, Internet Explorer și Google Chrome au fost, de asemenea, actualizate recent pentru a remedia această vulnerabilitate.
