Firefox 57.0.4 выпущен с обходным путем для атак Meltdown и Spectre
Mozilla сегодня выпустила новую версию своего браузера Firefox. Он предлагает дополнительную защиту от серьезных проблем безопасности, недавно обнаруженных в процессорах Intel. В обновленном выпуске есть обходной путь для уязвимостей Meltdown и Spectre.
Рекламное объявление
Если вы не знаете об уязвимостях Meltdown и Spectre, мы подробно рассмотрели их в этих двух статьях:
- Microsoft выпускает экстренное исправление для ошибок ЦП Meltdown и Spectre
- Вот исправления Windows 7 и 8.1 для недостатков CPU Meltdown и Spectre.
Короче говоря, уязвимости Meltdown и Spectre позволяют процессу читать личные данные любого другого процесса, даже извне виртуальной машины. Это возможно из-за реализации Intel того, как их процессоры предварительно выбирают данные. Это не может быть исправлено только исправлением ОС. Исправление включает в себя обновление ядра ОС, а также обновление микрокода ЦП и, возможно, даже обновление UEFI / BIOS / прошивки для некоторых устройств, чтобы полностью устранить уязвимости.
Атака может быть выполнена даже с использованием JavaScript в браузере. Чтобы минимизировать вектор атаки, Mozilla выпустила обновление для браузера Firefox, которое устраняет проблему.
В официальном заявлении утверждается, что обе атаки основаны на точном времени, поэтому отключение или снижение точности нескольких источников времени в Firefox помогает.
В объявление говорит:
Полные масштабы атак этого класса все еще исследуются, и мы работаем с исследователями безопасности и другими поставщиками браузеров, чтобы полностью разобраться в угрозе и способах ее устранения. Поскольку этот новый класс атак включает в себя измерение точных интервалов времени, в качестве частичного краткосрочного смягчения мы отключаем или снижаем точность нескольких источников времени в Firefox. Сюда входят как явные источники, такие как performance.now (), так и неявные источники, которые позволяют создавать таймеры с высоким разрешением, а именно SharedArrayBuffer.
В частности, во всех каналах выпуска, начиная с Firefox 57:
Разрешение performance.now () будет уменьшено до 20 мкс.
Функция SharedArrayBuffer по умолчанию отключена.
Обновленная версия браузера Firefox теперь доступен для скачивания для всех поддерживаемых операционных систем и через систему автоматического обновления в Windows. Если вы являетесь пользователем Firefox, убедитесь, что вы установили последнюю версию приложения или что служба поддержки Mozilla установлена и работает, поэтому она будет обновляться автоматически.
Microsoft Edge, Internet Explorer и Гугл Хром также были недавно обновлены, чтобы исправить эту уязвимость.