[新聞] Mozilla確認近日的CPU漏洞可經由網路執行

看板Browsers (瀏覽器)作者YuQilin (神獸)時間8年前 (2018/01/05 02:22)推噓1(1推 0噓 5→)

留言6則, 3人參與討論串1/1

Mozillla確認近日傳出的CPU漏洞Meltdown和Spectre，不需要使用者執行本地的程式碼，只要上網瀏覽，就可能經由網頁載入和執行的JS而受到攻擊，證實了使用者最擔憂發生的情形。由於這些漏洞的資訊在去年已經分享給Mozilla，所以去年推出的Firefox 57版已經針對這些漏洞提出緩解。由於利用這些漏洞的攻擊需要仰賴精確的時間差來偵測快取的內容，所以Fx57暫時的緩解是降低了幾個時鐘源的精度，例如performance.now()、將SharedArrayBuffer預設停用。這些暫時的緩解不能完全解決bug，但是可以有效的妨礙利用這些漏洞的攻擊成功的獲取正確的資訊。 Mozilla表示他們在試驗新的緩解技術，可以徹底消除資訊的洩漏。而Google Chrome預計將會在1月23號發行的v64版推送這些漏洞的緩解，在那之前，Google建議使用者啟用v63版的Strict Site Isolation功能，這個功能可以隔離非同源的網頁撈取其他分頁的資訊，避免儲存在其他網站資訊洩漏。來源： https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/ https://goo.gl/EpUfpM -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.81 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1515090169.A.7A8.html