Mozillla确认近日传出的CPU漏洞Meltdown和Spectre,
不需要使用者执行本地的程式码,只要上网浏览,
就可能经由网页加载和执行的JS而受到攻击,
证实了使用者最担忧发生的情形。
由于这些漏洞的资讯在去年已经分享给Mozilla,
所以去年推出的Firefox 57版已经针对这些漏洞提出缓解。
由于利用这些漏洞的攻击需要仰赖精确的时间差来侦测快取的内容,
所以Fx57暂时的缓解是降低了几个时钟源的精度,
例如performance.now()、将SharedArrayBuffer默认停用。
这些暂时的缓解不能完全解决bug,
但是可以有效的妨碍利用这些漏洞的攻击成功的获取正确的资讯。
Mozilla表示他们在试验新的缓解技术,可以彻底消除资讯的泄漏。
而Google Chrome预计将会在1月23号发行的v64版推送这些漏洞的缓解,
在那之前,Google建议使用者启用v63版的Strict Site Isolation功能,
这个功能可以隔离非同源的网页捞取其他分页的资讯,
避免储存在其他网站资讯泄漏。
来源:
https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/
https://goo.gl/EpUfpM