Firefox 57.0.4 не включает никаких других изменений, поскольку в данной версии Mozilla решила уделить приоритетное внимание защите от эксплуатации этих двух уязвимостей. Браузер получил два различных изменения, которые позволяют снизить риск атак Meltdown и Spectre.
Как защититься от атак Meltdown и Spectre. Патчи и обновления
В первую очередь разработчики снизили точность нескольких источников времени в браузере, чтобы минимизировать вероятность атак против пользователей. Значение performance.now() было снижено с 5 мкс до 20 мкс, а функция SharedArrayBuffer теперь по умолчанию отключена. Аналогичные изменения были внесены в Microsoft Edge.
Mozilla объясняет смысл изменения:
Поскольку этот новый тип атак включает в себя измерение точных временных интервалов, в рамках экстренной меры безопасности мы решили отключить или снизить точность нескольких источников времени в Firefox. Были изменены как явные источники, такие как performance.now (), так и неявные источники, которые позволяют создавать таймеры с высокой точностью, а именно SharedArrayBuffer.
Компания заявляет, что позже SharedArrayBuffer будет снова включен, а в настоящее время команда разработчиков изучают другие способы снижения риска эксплуатации уязвимостей:
В более долгосрочной перспективе мы начали экспериментировать с методами устранения утечки информации ближе к источнику, вместо того чтобы просто скрывать утечку, отключая таймеры. Эта реализация требует времени для понимания, внедрения и тестирования. Однако, мы рассматриваем возможность повторного использования SharedArrayBuffer и других таймеров высокой точности, поскольку эти функции предоставляют важные возможности для веб-платформы.
Инженер Mozilla по безопасности Эйприл Кинг (April King) утверждает, что влияние данных патчей на производительность будет минимальным, однако “исправления операционных систем могут иметь смешанные эффекты в зависимости от вашей рабочей нагрузки”.
Как и в случае с другими исправлениями для уязвимостей Meltdown и Spectre, пользователям рекомендуется как можно скорее установить новую версию, чтобы оставаться защищенными.
По материалам Softpedia
Обновления программ, что нового
• Kaspersky для Windows. Релиз MR22: Улучшенная защита и поддержка Kaspersky Protection в Opera
• Т-Банк выпустил открытую LLM с режимом рассуждений T-Pro 2.0, российский аналог Qwen и DeepSeek
• WhatsApp пора готовиться к уходу из России – депутат Госдумы
• Nothing OS 4.0 на Android 16: дата релиза, устройства и функции
• Чат-бот Le Chat (Mistral AI) получил режим «глубоких исследований» и другие функции
• Android 16 QPR1 Beta 3 для Pixel: ключевые исправления и улучшения