Firefox 57.0.4, Meltdown ve Spectre saldırı geçici çözümüyle birlikte yayınlandı
Mozilla bugün Firefox tarayıcısının yeni bir sürümünü yayınladı. Intel CPU'larda yakın zamanda bulunan ciddi güvenlik sorunlarına karşı ekstra koruma sağlar. Güncellenen sürümde Meltdown ve Spectre güvenlik açıkları için bir geçici çözüm bulunur.
Meltdown ve Spectre güvenlik açıklarından haberdar değilseniz, bunları bu iki makalede ayrıntılı olarak ele aldık:
- Microsoft, Meltdown ve Spectre CPU kusurları için acil durum düzeltmesi yayınlıyor
- İşte Meltdown ve Spectre CPU kusurları için Windows 7 ve 8.1 düzeltmeleri
Kısacası, hem Meltdown hem de Spectre güvenlik açıkları, bir işlemin, bir sanal makinenin dışından bile olsa, diğer herhangi bir işlemin özel verilerini okumasına izin verir. Bu, Intel'in CPU'larının verileri nasıl önceden getirdiğini uygulaması nedeniyle mümkündür. Bu, yalnızca işletim sistemine yama uygulanarak düzeltilemez. Düzeltme, istismarları tamamen azaltmak için işletim sistemi çekirdeğinin yanı sıra bir CPU mikro kod güncellemesini ve hatta bazı cihazlar için muhtemelen bir UEFI/BIOS/ürün yazılımı güncellemesini güncellemeyi içeriyor.
Saldırı, bir tarayıcı kullanılarak JavaScript ile bile gerçekleştirilebilir. Saldırı vektörünü en aza indirmek için Mozilla, Firefox tarayıcısında sorunu azaltan bir güncelleme yayınladı.
Resmi duyuru, her iki saldırının da kesin zamanlamaya dayandığını iddia ediyor, bu nedenle Firefox'ta birkaç zaman kaynağının kesinliğini devre dışı bırakmak veya azaltmak yardımcı oluyor.
NS duyuru diyor:
Bu saldırı sınıfının tam kapsamı hala araştırılmaktadır ve tehdidi ve düzeltmeleri tam olarak anlamak için güvenlik araştırmacıları ve diğer tarayıcı satıcılarıyla birlikte çalışıyoruz. Bu yeni saldırı sınıfı, kısmi, kısa vadeli bir azaltma olarak kesin zaman aralıklarının ölçülmesini içerdiğinden, Firefox'ta birkaç zaman kaynağının kesinliğini devre dışı bırakıyoruz veya azaltıyoruz. Bu, hem Performance.now() gibi açık kaynakları hem de yüksek çözünürlüklü zamanlayıcılar oluşturmaya izin veren örtük kaynakları, yani SharedArrayBuffer'ı içerir.
Özellikle, Firefox 57'den başlayarak tüm sürüm kanallarında:
Performance.now()'un çözünürlüğü 20µs'ye düşürülecektir.
SharedArrayBuffer özelliği varsayılan olarak devre dışı bırakılıyor.
Firefox tarayıcısının güncellenmiş sürümü artık Indirilebilir desteklenen tüm işletim sistemleri için ve Windows'ta otomatik güncelleme sistemi aracılığıyla. Firefox kullanıcısıysanız, uygulamanın en son sürümünü yüklediğinizden veya Mozilla Bakım Hizmeti'nin kurulu ve çalışır durumda olduğundan emin olun, böylece otomatik olarak güncellenir.
Microsoft Edge, Internet Explorer ve Google Chrome ayrıca bu güvenlik açığını gidermek için yakın zamanda güncellendi.
