Уязвимости Meltdown и Spectre.
Вышел корректирующий выпуск браузера Mozilla Firefox 57.0.4 с исправлениями безопасности, смягчающими уязвимости Meltdown и Spectre, которые затрагивают большинство современных микропроцессоров Intel, AMD и ARM.
Внутренние исследования Mozilla подтверждают, что эти уязвимости можно использовать для сетевых атак запущенных в браузере. Успешная атака позволяет злоумышленникам получить доступ к конфиденциальной информации пользователя, такой как пароли, ключи шифрования и другим данным из системной памяти.
Чтобы уменьшить угрозу подобных атак на всех каналах браузера Mozilla Firefox начиная с версии 57:
- Точность измерения интервалов времени функцией performance.now() уменьшена с 5 до 20 мкс;
- Функция SharedArrayBuffer отключена по умолчанию.
В Mozilla также отмечают, что степень угрозы этого класса атак находится на стадии расследования. Сообщество сотрудничает с исследователями безопасности и другими разработчиками браузеров, чтобы оценить масштаб проблемы и найти оптимальный метод ее решения.