Фирефок 57.0.4 објављен са решењем за Мелтдовн и Спецтре напад
Мозилла је данас објавила нову верзију свог Фирефок претраживача. Нуди додатну заштиту од озбиљних безбедносних проблема који су недавно пронађени у Интеловим процесорима. Ажурирано издање има решење за рањивости Мелтдовн и Спецтре.
Реклама
Ако нисте упознати са рањивостима Мелтдовн и Спецтре, детаљно смо их покрили у ова два чланка:
- Мицрософт уводи хитну исправку за грешке у процесору Мелтдовн и Спецтре
- Ево исправки за Виндовс 7 и 8.1 за Мелтдовн и Спецтре ЦПУ грешке
Укратко, и Мелтдовн и Спецтре рањивости омогућавају процесу да чита приватне податке било ког другог процеса, чак и изван виртуелне машине. Ово је могуће захваљујући Интеловој имплементацији начина на који њихови ЦПУ унапред преузимају податке. Ово се не може поправити само закрпом за ОС. Исправка укључује ажурирање језгра ОС-а, као и ажурирање микрокода ЦПУ-а и можда чак и ажурирање УЕФИ/БИОС-а/фирмвера за неке уређаје, како би се у потпуности ублажили експлоатације.
Напад се може извести чак и са ЈаваСцрипт-ом користећи претраживач. Да би минимизирала вектор напада, Мозилла је објавила ажурирање претраживача Фирефок које ублажава проблем.
Званично саопштење тврди да се оба напада ослањају на прецизно мерење времена, тако да онемогућавање или смањење прецизности неколико извора времена у Фирефоку помаже.
Тхе саопштење каже:
Пуни обим ове класе напада је још увек под истрагом и радимо са истраживачима безбедности и другим произвођачима претраживача како бисмо у потпуности разумели претњу и исправке. Пошто ова нова класа напада укључује мерење прецизних временских интервала, као делимично, краткорочно, ублажавање, онемогућавамо или смањујемо прецизност неколико извора времена у Фирефок-у. Ово укључује експлицитне изворе, као што је перформанце.нов(), и имплицитне изворе који омогућавају прављење тајмера високе резолуције, односно СхаредАрраиБуффер.
Конкретно, у свим каналима издања, почевши од Фирефок-а 57:
Резолуција перформансе.нов() ће бити смањена на 20µс.
Функција СхаредАрраиБуффер је подразумевано онемогућена.
Ажурирана верзија претраживача Фирефок је сада доступно за преузимање за све подржане оперативне системе и преко система за аутоматско ажурирање на Виндовс-у. Ако сте корисник Фирефок-а, уверите се да сте инсталирали најновију верзију апликације или да је Мозилла Маинтенанце Сервице инсталирана и ради, тако да ће се аутоматски ажурирати.
Мицрософт Едге, Интернет Екплорер и Гоогле Цхроме су такође недавно ажурирани како би се поправила ова рањивост.
