※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2018-01-05 15:06:19
看板 Browsers
作者 標題 [新聞] Mozilla確認近日的CPU漏洞可經由網路執行
時間 Fri Jan 5 02:22:44 2018
Mozillla確認近日傳出的CPU漏洞Meltdown和Spectre,
不需要使用者執行本地的程式碼,只要上網瀏覽,
就可能經由網頁載入和執行的JS而受到攻擊,
證實了使用者最擔憂發生的情形。
由於這些漏洞的資訊在去年已經分享給Mozilla,
所以去年推出的Firefox 57版已經針對這些漏洞提出緩解。
由於利用這些漏洞的攻擊需要仰賴精確的時間差來偵測快取的內容,
所以Fx57暫時的緩解是降低了幾個時鐘源的精度,
例如performance.now()、將SharedArrayBuffer預設停用。
這些暫時的緩解不能完全解決bug,
但是可以有效的妨礙利用這些漏洞的攻擊成功的獲取正確的資訊。
Mozilla表示他們在試驗新的緩解技術,可以徹底消除資訊的洩漏。
Mozilla表示他們在試驗新的緩解技術,可以徹底消除資訊的洩漏。
而Google Chrome預計將會在1月23號發行的v64版推送這些漏洞的緩解,
在那之前,Google建議使用者啟用v63版的Strict Site Isolation功能,
這個功能可以隔離非同源的網頁撈取其他分頁的資訊,
在那之前,Google建議使用者啟用v63版的Strict Site Isolation功能,
這個功能可以隔離非同源的網頁撈取其他分頁的資訊,
避免儲存在其他網站資訊洩漏。
來源:
https://www.bleepingcomputer.com/news...-meltdown-and-spectre-attacks/
Mozilla Confirms Web-Based Execution Vector for Meltdown and Spectre Attacks
![[圖]]()
Mozilla has officially confirmed that the recently disclosed Meltdown and Spectre CPU flaws can be exploited via web content such as JavaScript files ...
![[圖]](https://www.bleepstatic.com/content/posts/2018/01/04/Meltdown+Spectre+browser.png)
Mozilla Confirms Web-Based Execution Vector for Meltdown and Spectre Attacks
![[圖]]()
Mozilla has officially confirmed that the recently disclosed Meltdown and Spectre CPU flaws can be exploited via web content such as JavaScript files ...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.81
※ 文章代碼(AID): #1QJd3vUe (Browsers)
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1515090169.A.7A8.html
→ : Intel這次真的糗大了。1F 01/05 06:55
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 173
回列表(←)
分享