PTT
Submit
Submit
选择语言
正體中文
简体中文
PTT
Browsers
[新闻] Mozilla确认近日的CPU漏洞可经由网络执行
楼主:
YuQilin
(神兽)
2018-01-05 02:22:44
Mozillla确认近日传出的CPU漏洞Meltdown和Spectre,
不需要使用者执行本地的程式码,只要上网浏览,
就可能经由网页加载和执行的JS而受到攻击,
证实了使用者最担忧发生的情形。
由于这些漏洞的资讯在去年已经分享给Mozilla,
所以去年推出的Firefox 57版已经针对这些漏洞提出缓解。
由于利用这些漏洞的攻击需要仰赖精确的时间差来侦测快取的内容,
所以Fx57暂时的缓解是降低了几个时钟源的精度,
例如performance.now()、将SharedArrayBuffer默认停用。
这些暂时的缓解不能完全解决bug,
但是可以有效的妨碍利用这些漏洞的攻击成功的获取正确的资讯。
Mozilla表示他们在试验新的缓解技术,可以彻底消除资讯的泄漏。
而Google Chrome预计将会在1月23号发行的v64版推送这些漏洞的缓解,
在那之前,Google建议使用者启用v63版的Strict Site Isolation功能,
这个功能可以隔离非同源的网页捞取其他分页的资讯,
避免储存在其他网站资讯泄漏。
来源:
https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/
https://goo.gl/EpUfpM
作者:
menontw
(竹本口木子)
2018-01-05 06:55:00
Intel这次真的糗大了。
作者:
kuro
(支那啃民党 凸 ̄▽ ̄凸)
2018-01-05 20:23:00
内文的 SharedArrayBuffer 好像是对应 about:config 的javascript.options.shared_memory 这参数,57之前的版本看要不要手动关一下,我用 55.0.3 关了 >"<
https://goo.gl/6XJg2G
[email protected]
web docs
作者:
TobyH4cker
(Toby (我要当好人))
2018-02-04 03:00:00
Sleep(1000); // 延时1秒
继续阅读
[-Fx-] 57版的书签图示
osalucard
Re: [-GC-] Chrome 因应 intel CPU 漏洞的处置
toploader
[-GC-] Chrome 因应 intel CPU 漏洞的处置
kuro
[-Fx-] 无法开启 且占据工作管理员只能重开解决
iphone55566
Re: [问题] 将Fx57变为免安装版碰到的问题
Omlet
[-Fx-] 如何在特定网站不使用扩充套件
qxpbyd
[-Fx-] 在网址列或搜寻列输入,想直接另开分页
lienyin
[-Fx-] iMacros 取代
paulyanzi
Re: [问题] 将Fx57变为免安装版碰到的问题
ilanese
Re: [问题] 将Fx57变为免安装版碰到的问题
aza0290
Links
booklink
Contact Us: admin [ a t ] ucptt.com