Firefox 57.0.4 не включает никаких других изменений, поскольку в данной версии Mozilla решила уделить приоритетное внимание защите от эксплуатации этих двух уязвимостей. Браузер получил два различных изменения, которые позволяют снизить риск атак Meltdown и Spectre.
Как защититься от атак Meltdown и Spectre. Патчи и обновления
В первую очередь разработчики снизили точность нескольких источников времени в браузере, чтобы минимизировать вероятность атак против пользователей. Значение performance.now() было снижено с 5 мкс до 20 мкс, а функция SharedArrayBuffer теперь по умолчанию отключена. Аналогичные изменения были внесены в Microsoft Edge.
Mozilla объясняет смысл изменения:
Поскольку этот новый тип атак включает в себя измерение точных временных интервалов, в рамках экстренной меры безопасности мы решили отключить или снизить точность нескольких источников времени в Firefox. Были изменены как явные источники, такие как performance.now (), так и неявные источники, которые позволяют создавать таймеры с высокой точностью, а именно SharedArrayBuffer.
Компания заявляет, что позже SharedArrayBuffer будет снова включен, а в настоящее время команда разработчиков изучают другие способы снижения риска эксплуатации уязвимостей:
В более долгосрочной перспективе мы начали экспериментировать с методами устранения утечки информации ближе к источнику, вместо того чтобы просто скрывать утечку, отключая таймеры. Эта реализация требует времени для понимания, внедрения и тестирования. Однако, мы рассматриваем возможность повторного использования SharedArrayBuffer и других таймеров высокой точности, поскольку эти функции предоставляют важные возможности для веб-платформы.
Инженер Mozilla по безопасности Эйприл Кинг (April King) утверждает, что влияние данных патчей на производительность будет минимальным, однако “исправления операционных систем могут иметь смешанные эффекты в зависимости от вашей рабочей нагрузки”.
Как и в случае с другими исправлениями для уязвимостей Meltdown и Spectre, пользователям рекомендуется как можно скорее установить новую версию, чтобы оставаться защищенными.
По материалам Softpedia
Обновления программ, что нового
• Google внедряет новые функции защиты от кражи для устройств Android
• Началось открытое бета-тестирование Arc Search для Android
• Samsung One UI 7: Обзор ранней сборки нового интерфейса на Android 15
• ColorOS 15 и OxygenOS 15: Слияние дизайна iOS и функциональности Android
• Apple выпустила iOS 18.0.1 с исправлениями для сенсорного экрана и камеры
• YouTube случайно заблокировал тысячи аккаунтов из-за ошибки в алгоритме