Firefox 57.0.4 เปิดตัวพร้อมวิธีแก้ปัญหาการโจมตี Meltdown และ Spectre

Mozilla เปิดตัวเบราว์เซอร์ Firefox เวอร์ชันใหม่ มีการป้องกันเพิ่มเติมจากปัญหาด้านความปลอดภัยที่ร้ายแรงซึ่งเพิ่งพบใน CPU ของ Intel รุ่นที่อัปเดตมีวิธีแก้ปัญหาชั่วคราวสำหรับช่องโหว่ Meltdown และ Spectre

หากคุณไม่ทราบเกี่ยวกับช่องโหว่ Meltdown และ Spectre เราได้กล่าวถึงรายละเอียดเหล่านี้ในสองบทความต่อไปนี้:

• Microsoft กำลังเปิดตัวการแก้ไขฉุกเฉินสำหรับข้อบกพร่องของ CPU Meltdown และ Spectre
• ต่อไปนี้คือการแก้ไขข้อบกพร่องของ CPU Meltdown และ Spectre ของ Windows 7 และ 8.1

กล่าวโดยสรุป ช่องโหว่ทั้ง Meltdown และ Spectre ช่วยให้กระบวนการอ่านข้อมูลส่วนตัวของกระบวนการอื่นๆ ได้ แม้กระทั่งจากภายนอกเครื่องเสมือน สิ่งนี้เป็นไปได้เนื่องจากการใช้งานของ Intel ในการดึงข้อมูลล่วงหน้าของ CPU ซึ่งไม่สามารถแก้ไขได้ด้วยการแพทช์ OS เท่านั้น การแก้ไขเกี่ยวข้องกับการอัปเดตเคอร์เนล OS เช่นเดียวกับการอัปเดตไมโครโค้ดของ CPU และอาจรวมถึงการอัปเดต UEFI/BIOS/เฟิร์มแวร์สำหรับอุปกรณ์บางตัว เพื่อลดการโจมตีโดยสมบูรณ์

การโจมตีสามารถทำได้แม้กระทั่งกับ JavaScript โดยใช้เบราว์เซอร์ เพื่อลดเวกเตอร์การโจมตี Mozilla ได้เผยแพร่การอัปเดตสำหรับเบราว์เซอร์ Firefox ซึ่งช่วยลดปัญหาได้

การประกาศอย่างเป็นทางการอ้างว่าการโจมตีทั้งสองแบบอาศัยจังหวะเวลาที่แม่นยำ ดังนั้นการปิดใช้งานหรือลดความแม่นยำของแหล่งที่มาเวลาต่างๆ ใน ​​Firefox จึงช่วยได้

NS ประกาศ พูดว่า:

ขอบเขตทั้งหมดของการโจมตีประเภทนี้ยังอยู่ภายใต้การตรวจสอบ และเรากำลังทำงานร่วมกับนักวิจัยด้านความปลอดภัยและผู้จำหน่ายเบราว์เซอร์รายอื่นๆ เพื่อทำความเข้าใจภัยคุกคามและการแก้ไขอย่างถ่องแท้ เนื่องจากการโจมตีประเภทใหม่นี้เกี่ยวข้องกับการวัดช่วงเวลาที่แม่นยำ เป็นการบรรเทาบางส่วนในระยะสั้น เราจึงปิดการใช้งานหรือลดความแม่นยำของแหล่งที่มาของเวลาหลายแห่งใน Firefox ซึ่งรวมถึงแหล่งที่มาที่ชัดเจน เช่น performance.now() และแหล่งที่มาโดยนัยที่อนุญาตให้สร้างตัวจับเวลาที่มีความละเอียดสูง กล่าวคือ SharedArrayBuffer

โดยเฉพาะในทุกช่องทางการเผยแพร่ โดยเริ่มด้วย Firefox 57:

ความละเอียดของ performance.now() จะลดลงเหลือ 20µs
คุณลักษณะ SharedArrayBuffer ถูกปิดใช้งานโดยค่าเริ่มต้น

เบราว์เซอร์ Firefox เวอร์ชันที่อัปเดตอยู่ในขณะนี้ พร้อมให้ดาวน์โหลด สำหรับระบบปฏิบัติการที่รองรับทั้งหมดและผ่านระบบอัพเดตอัตโนมัติบน Windows หากคุณเป็นผู้ใช้ Firefox ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งแอปเวอร์ชันล่าสุด หรือติดตั้งและใช้งาน Mozilla Maintenance Service ดังนั้นแอปจะอัปเดตโดยอัตโนมัติ

Microsoft Edge, Internet Explorer และ Google Chrome ได้รับการอัปเดตเมื่อเร็ว ๆ นี้เพื่อแก้ไขช่องโหว่นี้