Firefox 57.0.4 släppt med Meltdown och Spectre attack lösning
Mozilla släppte idag en ny version av sin webbläsare Firefox. Det ger extra skydd mot de allvarliga säkerhetsproblem som nyligen hittats i Intel-processorer. Den uppdaterade versionen har en lösning för sårbarheter i Meltdown och Spectre.
Annons
Om du inte är medveten om Meltdown- och Spectre-sårbarheterna har vi täckt dem i detalj i dessa två artiklar:
- Microsoft rullar ut nödfix för Meltdown och Spectre CPU-brister
- Här är Windows 7 och 8.1-fixar för Meltdown och Spectre CPU-brister
Kort sagt, både Meltdown- och Spectre-sårbarheter tillåter en process att läsa privata data för alla andra processer, även från utsidan av en virtuell maskin. Detta är möjligt på grund av Intels implementering av hur deras processorer förhämtar data. Detta kan inte åtgärdas genom att bara patcha OS. Korrigeringen innebär uppdatering av OS-kärnan, såväl som en CPU-mikrokoduppdatering och möjligen till och med en UEFI/BIOS/firmware-uppdatering för vissa enheter, för att helt mildra utnyttjandet.
Attacken kan utföras även med JavaScript med hjälp av en webbläsare. För att minimera attackvektorn har Mozilla släppt en uppdatering till webbläsaren Firefox som mildrar problemet.
Det officiella tillkännagivandet hävdar att båda attackerna är beroende av exakt timing, så att inaktivera eller minska precisionen för flera tidskällor i Firefox hjälper.
De meddelande säger:
Hela omfattningen av denna klass av attacker är fortfarande under utredning och vi arbetar med säkerhetsforskare och andra webbläsarleverantörer för att till fullo förstå hotet och korrigeringarna. Eftersom denna nya klass av attacker involverar mätning av exakta tidsintervall, som en partiell, kortsiktig begränsning, inaktiverar eller minskar vi precisionen för flera tidskällor i Firefox. Detta inkluderar både explicita källor, som performance.now(), och implicita källor som tillåter att bygga högupplösta timers, nämligen SharedArrayBuffer.
Närmare bestämt, i alla releasekanaler, från och med Firefox 57:
Upplösningen för performance.now() kommer att reduceras till 20µs.
SharedArrayBuffer-funktionen inaktiveras som standard.
Den uppdaterade versionen av webbläsaren Firefox är nu tillgänglig för nedladdning för alla operativsystem som stöds och via det automatiska uppdateringssystemet på Windows. Om du är en Firefox-användare, se till att du har installerat den senaste versionen av appen, eller så är Mozillas underhållstjänst installerad och körs, så att den uppdateras automatiskt.
Microsoft Edge, Internet Explorer och Google Chrome uppdaterades också nyligen för att åtgärda denna sårbarhet.