Firefox 57.0.4 vydaný s riešením útoku Meltdown a Spectre

Mozilla dnes vydala novú verziu svojho prehliadača Firefox. Ponúka dodatočnú ochranu pred vážnymi bezpečnostnými problémami, ktoré sa nedávno vyskytli v procesoroch Intel. Aktualizované vydanie obsahuje riešenie pre chyby zabezpečenia Meltdown a Spectre.

Ak si nie ste vedomí zraniteľnosti Meltdown a Spectre, podrobne sme sa im venovali v týchto dvoch článkoch:

• Microsoft vydáva núdzovú opravu pre chyby CPU Meltdown a Spectre
• Tu sú opravy Windows 7 a 8.1 pre chyby CPU Meltdown a Spectre

Stručne povedané, zraniteľnosti Meltdown aj Spectre umožňujú procesu čítať súkromné ​​údaje akéhokoľvek iného procesu, dokonca aj mimo virtuálneho počítača. Je to možné vďaka implementácii Intelu, ako ich CPU predbežne načítavajú dáta. Toto sa nedá opraviť iba opravou operačného systému. Oprava zahŕňa aktualizáciu jadra OS, ako aj aktualizáciu mikrokódu CPU a možno aj aktualizáciu UEFI/BIOS/firmvéru pre niektoré zariadenia, aby sa úplne zmiernili zneužitia.

Útok je možné vykonať aj pomocou JavaScriptu pomocou prehliadača. Aby sa minimalizoval vektor útoku, Mozilla vydala aktualizáciu prehliadača Firefox, ktorá tento problém zmierňuje.

Oficiálne oznámenie tvrdí, že oba útoky sa spoliehajú na presné načasovanie, takže zakázanie alebo zníženie presnosti niekoľkých zdrojov času vo Firefoxe pomáha.

The oznámenie hovorí:

Úplný rozsah tejto triedy útokov je stále predmetom vyšetrovania a spolupracujeme s bezpečnostnými výskumníkmi a ďalšími predajcami prehliadačov, aby sme plne pochopili hrozbu a opravy. Keďže táto nová trieda útokov zahŕňa meranie presných časových intervalov, ako čiastočné, krátkodobé zmiernenie deaktivujeme alebo znižujeme presnosť niekoľkých zdrojov času vo Firefoxe. Patria sem explicitné zdroje, ako napríklad performance.now(), ako aj implicitné zdroje, ktoré umožňujú vytvárať časovače s vysokým rozlíšením, viď SharedArrayBuffer.

Konkrétne vo všetkých kanáloch vydania, počnúc Firefoxom 57:

Rozlíšenie performance.now() sa zníži na 20 µs.
Funkcia SharedArrayBuffer je predvolene vypnutá.

Aktualizovaná verzia prehliadača Firefox je teraz k dispozícii k dispozícii na stiahnutie pre všetky podporované operačné systémy a prostredníctvom systému automatickej aktualizácie v systéme Windows. Ak ste používateľom Firefoxu, uistite sa, že máte nainštalovanú najnovšiu verziu aplikácie alebo že je nainštalovaná a spustená služba Mozilla Maintenance Service, takže sa aktualizuje automaticky.

Microsoft Edge, Internet Explorer a Google Chrome boli tiež nedávno aktualizované, aby túto chybu zabezpečenia opravili.