Браузер Mozilla Firefox получил защиту от атак Meltdown и Spectre

08.01.2018

Компания выпустила обновленную версию браузера Firefox, включающую исправления для уязвимостей Meltdown и Spectre, обнаруженных в процессорах Intel, AMD и ARM.

Firefox 57.0.4 не включает никаких других изменений, поскольку в данной версии Mozilla решила уделить приоритетное внимание защите от эксплуатации этих двух уязвимостей. Браузер получил два различных изменения, которые позволяют снизить риск атак Meltdown и Spectre.

В первую очередь разработчики снизили точность нескольких источников времени в браузере, чтобы минимизировать вероятность атак против пользователей. Значение performance.now() было снижено с 5 мкс до 20 мкс, а функция SharedArrayBuffer теперь по умолчанию отключена. Аналогичные изменения были внесены в Microsoft Edge.

Mozilla объясняет смысл изменения:

Поскольку этот новый тип атак включает в себя измерение точных временных интервалов, в рамках экстренной меры безопасности мы решили отключить или снизить точность нескольких источников времени в Firefox. Были изменены как явные источники, такие как performance.now (), так и неявные источники, которые позволяют создавать таймеры с высокой точностью, а именно SharedArrayBuffer.

Компания заявляет, что позже SharedArrayBuffer будет снова включен, а в настоящее время команда разработчиков изучают другие способы снижения риска эксплуатации уязвимостей:

В более долгосрочной перспективе мы начали экспериментировать с методами устранения утечки информации ближе к источнику, вместо того чтобы просто скрывать утечку, отключая таймеры. Эта реализация требует времени для понимания, внедрения и тестирования. Однако, мы рассматриваем возможность повторного использования SharedArrayBuffer и других таймеров высокой точности, поскольку эти функции предоставляют важные возможности для веб-платформы.

Инженер Mozilla по безопасности Эйприл Кинг (April King) утверждает, что влияние данных патчей на производительность будет минимальным, однако “исправления операционных систем могут иметь смешанные эффекты в зависимости от вашей рабочей нагрузки”.

Как и в случае с другими исправлениями для уязвимостей Meltdown и Spectre, пользователям рекомендуется как можно скорее установить новую версию, чтобы оставаться защищенными.

Поставьте лайк, если нравятся наши материалы и вы хотите чаще видеть их в своей ленте.