Firefox 57.0.4 випущено з обхідним шляхом Meltdown і Spectre
Сьогодні Mozilla випустила нову версію свого браузера Firefox. Він пропонує додатковий захист від серйозних проблем безпеки, які нещодавно виникли в процесорах Intel. Оновлений випуск містить обхідний шлях для вразливостей Meltdown і Spectre.
Якщо ви не знаєте про вразливості Meltdown і Spectre, ми детально розповіли про них у цих двох статтях:
- Корпорація Майкрософт впроваджує екстрене виправлення недоліків процесора Meltdown і Spectre
- Ось Windows 7 і 8.1, які виправляють недоліки процесора Meltdown і Spectre
Коротше кажучи, уразливості як Meltdown, так і Spectre дозволяють процесу читати приватні дані будь-якого іншого процесу, навіть ззовні віртуальної машини. Це можливо завдяки реалізації Intel того, як їхні процесори попередньо вибирають дані. Це не можна виправити, виправивши лише ОС. Виправлення включає оновлення ядра ОС, а також оновлення мікрокоду ЦП і, можливо, навіть оновлення UEFI/BIOS/прошивки для деяких пристроїв, щоб повністю пом’якшити ризики.
Атаку можна здійснити навіть за допомогою JavaScript за допомогою браузера. Щоб мінімізувати вектор атаки, Mozilla випустила оновлення для браузера Firefox, яке пом’якшує проблему.
В офіційному оголошенні стверджується, що обидві атаки покладаються на точний час, тому вимкнення або зниження точності кількох джерел часу у Firefox допомагає.
The оголошення каже:
Повний масштаб цього класу атак все ще розслідується, і ми працюємо з дослідниками безпеки та іншими постачальниками браузерів, щоб повністю зрозуміти загрозу та виправлення. Оскільки цей новий клас атак передбачає вимірювання точних часових інтервалів, як часткове короткострокове пом’якшення, ми відключаємо або зменшуємо точність кількох джерел часу у Firefox. Це включає як явні джерела, такі як performance.now(), так і неявні джерела, які дозволяють створювати таймери високої роздільної здатності, а саме SharedArrayBuffer.
Зокрема, у всіх каналах випуску, починаючи з Firefox 57:
Роздільна здатність performance.now() буде зменшена до 20 мкс.
Функція SharedArrayBuffer вимкнена за замовчуванням.
Тепер оновлена версія браузера Firefox доступні для завантаження для всіх підтримуваних операційних систем і через систему автоматичного оновлення Windows. Якщо ви користуєтеся Firefox, переконайтеся, що ви встановили останню версію програми, або службу технічного обслуговування Mozilla встановлено та запущено, щоб вона оновлювалася автоматично.
Microsoft Edge, Internet Explorer і Гугл хром були також нещодавно оновлені, щоб виправити цю вразливість.
