Firefox 57.0.4 не включает никаких других изменений, поскольку в данной версии Mozilla решила уделить приоритетное внимание защите от эксплуатации этих двух уязвимостей. Браузер получил два различных изменения, которые позволяют снизить риск атак Meltdown и Spectre.
Как защититься от атак Meltdown и Spectre. Патчи и обновления
В первую очередь разработчики снизили точность нескольких источников времени в браузере, чтобы минимизировать вероятность атак против пользователей. Значение performance.now() было снижено с 5 мкс до 20 мкс, а функция SharedArrayBuffer теперь по умолчанию отключена. Аналогичные изменения были внесены в Microsoft Edge.
Mozilla объясняет смысл изменения:
Поскольку этот новый тип атак включает в себя измерение точных временных интервалов, в рамках экстренной меры безопасности мы решили отключить или снизить точность нескольких источников времени в Firefox. Были изменены как явные источники, такие как performance.now (), так и неявные источники, которые позволяют создавать таймеры с высокой точностью, а именно SharedArrayBuffer.
Компания заявляет, что позже SharedArrayBuffer будет снова включен, а в настоящее время команда разработчиков изучают другие способы снижения риска эксплуатации уязвимостей:
В более долгосрочной перспективе мы начали экспериментировать с методами устранения утечки информации ближе к источнику, вместо того чтобы просто скрывать утечку, отключая таймеры. Эта реализация требует времени для понимания, внедрения и тестирования. Однако, мы рассматриваем возможность повторного использования SharedArrayBuffer и других таймеров высокой точности, поскольку эти функции предоставляют важные возможности для веб-платформы.
Инженер Mozilla по безопасности Эйприл Кинг (April King) утверждает, что влияние данных патчей на производительность будет минимальным, однако “исправления операционных систем могут иметь смешанные эффекты в зависимости от вашей рабочей нагрузки”.
Как и в случае с другими исправлениями для уязвимостей Meltdown и Spectre, пользователям рекомендуется как можно скорее установить новую версию, чтобы оставаться защищенными.
По материалам Softpedia
Обновления программ, что нового
• VK и НСПК начнут тестировать переводы через СБП в мессенджере Max в июле
• Steam Beta добавляет поддержку экранного диктора и цветовых фильтров в Big Picture
• Алиса теперь в Яндекс Переводчике — нейросеть поможет освоить английский язык в формате диалога
• Google Gemini теперь позволяет загружать видео для анализа содержимого
• Adobe Firefly доступен для iPhone и Android: ИИ генерация изображений и видео, «умное» редактирования фотографий
• Steam получил новый монитор производительности в стиле Steam Deck — уже доступен в бета-версии