Firefox 57.0.4 выпущен с обходным путем для атак Meltdown и Spectre

Mozilla сегодня выпустила новую версию своего браузера Firefox. Он предлагает дополнительную защиту от серьезных проблем безопасности, недавно обнаруженных в процессорах Intel. В обновленном выпуске есть обходной путь для уязвимостей Meltdown и Spectre.

Если вы не знаете об уязвимостях Meltdown и Spectre, мы подробно рассмотрели их в этих двух статьях:

• Microsoft выпускает экстренное исправление для ошибок ЦП Meltdown и Spectre
• Вот исправления Windows 7 и 8.1 для недостатков CPU Meltdown и Spectre.

Короче говоря, уязвимости Meltdown и Spectre позволяют процессу читать личные данные любого другого процесса, даже извне виртуальной машины. Это возможно из-за реализации Intel того, как их процессоры предварительно выбирают данные. Это не может быть исправлено только исправлением ОС. Исправление включает в себя обновление ядра ОС, а также обновление микрокода ЦП и, возможно, даже обновление UEFI / BIOS / прошивки для некоторых устройств, чтобы полностью устранить уязвимости.

Атака может быть выполнена даже с использованием JavaScript в браузере. Чтобы минимизировать вектор атаки, Mozilla выпустила обновление для браузера Firefox, которое устраняет проблему.

В официальном заявлении утверждается, что обе атаки основаны на точном времени, поэтому отключение или снижение точности нескольких источников времени в Firefox помогает.

В объявление говорит:

Полные масштабы атак этого класса все еще исследуются, и мы работаем с исследователями безопасности и другими поставщиками браузеров, чтобы полностью разобраться в угрозе и способах ее устранения. Поскольку этот новый класс атак включает в себя измерение точных интервалов времени, в качестве частичного краткосрочного смягчения мы отключаем или снижаем точность нескольких источников времени в Firefox. Сюда входят как явные источники, такие как performance.now (), так и неявные источники, которые позволяют создавать таймеры с высоким разрешением, а именно SharedArrayBuffer.

В частности, во всех каналах выпуска, начиная с Firefox 57:

Разрешение performance.now () будет уменьшено до 20 мкс.
Функция SharedArrayBuffer по умолчанию отключена.

Обновленная версия браузера Firefox теперь доступен для скачивания для всех поддерживаемых операционных систем и через систему автоматического обновления в Windows. Если вы являетесь пользователем Firefox, убедитесь, что вы установили последнюю версию приложения или что служба поддержки Mozilla установлена ​​и работает, поэтому она будет обновляться автоматически.

Microsoft Edge, Internet Explorer и Гугл Хром также были недавно обновлены, чтобы исправить эту уязвимость.