Mozillla確認近日傳出的CPU漏洞Meltdown和Spectre，
不需要使用者執行本地的程式碼，只要上網瀏覽，
就可能經由網頁載入和執行的JS而受到攻擊，
證實了使用者最擔憂發生的情形。
由於這些漏洞的資訊在去年已經分享給Mozilla，
所以去年推出的Firefox 57版已經針對這些漏洞提出緩解。
由於利用這些漏洞的攻擊需要仰賴精確的時間差來偵測快取的內容，
所以Fx57暫時的緩解是降低了幾個時鐘源的精度，
例如performance.now()、將SharedArrayBuffer預設停用。
這些暫時的緩解不能完全解決bug，
但是可以有效的妨礙利用這些漏洞的攻擊成功的獲取正確的資訊。
Mozilla表示他們在試驗新的緩解技術，可以徹底消除資訊的洩漏。
而Google Chrome預計將會在1月23號發行的v64版推送這些漏洞的緩解，
在那之前，Google建議使用者啟用v63版的Strict Site Isolation功能，
這個功能可以隔離非同源的網頁撈取其他分頁的資訊，
避免儲存在其他網站資訊洩漏。
來源：
https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/
https://goo.gl/EpUfpM

Intel這次真的糗大了。

內文的 SharedArrayBuffer 好像是對應 about:config 的javascript.options.shared_memory 這參數，57之前的版本看要不要手動關一下，我用 55.0.3 關了 >"<https://goo.gl/6XJg2G [email protected] web docs

Sleep(1000); // 延时1秒