[新聞] Mozilla確認近日的CPU漏洞可經由網路執行

作者: YuQilin (神獸)   2018-01-05 02:22:44
Mozillla確認近日傳出的CPU漏洞Meltdown和Spectre,
不需要使用者執行本地的程式碼,只要上網瀏覽,
就可能經由網頁載入和執行的JS而受到攻擊,
證實了使用者最擔憂發生的情形。
由於這些漏洞的資訊在去年已經分享給Mozilla,
所以去年推出的Firefox 57版已經針對這些漏洞提出緩解。
由於利用這些漏洞的攻擊需要仰賴精確的時間差來偵測快取的內容,
所以Fx57暫時的緩解是降低了幾個時鐘源的精度,
例如performance.now()、將SharedArrayBuffer預設停用。
這些暫時的緩解不能完全解決bug,
但是可以有效的妨礙利用這些漏洞的攻擊成功的獲取正確的資訊。
Mozilla表示他們在試驗新的緩解技術,可以徹底消除資訊的洩漏。
而Google Chrome預計將會在1月23號發行的v64版推送這些漏洞的緩解,
在那之前,Google建議使用者啟用v63版的Strict Site Isolation功能,
這個功能可以隔離非同源的網頁撈取其他分頁的資訊,
避免儲存在其他網站資訊洩漏。
來源:
https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/
https://goo.gl/EpUfpM
作者: menontw (竹本口木子)   2018-01-05 06:55:00
Intel這次真的糗大了。
作者: kuro (支那啃民黨 凸 ̄▽ ̄凸)   2018-01-05 20:23:00
內文的 SharedArrayBuffer 好像是對應 about:config 的javascript.options.shared_memory 這參數,57之前的版本看要不要手動關一下,我用 55.0.3 關了 >"<https://goo.gl/6XJg2G [email protected] web docs
作者: TobyH4cker (Toby (我要當好人))   2018-02-04 03:00:00
Sleep(1000); // 延时1秒

Links booklink

Contact Us: admin [ a t ] ucptt.com