Microsoft vysvětluje změny provedené v Edge, které řeší zranitelnost Spectre

Protože největší zdroj neznámého kódu běžícího na našich počítačích je přes web a protože nově objevené zranitelnosti související s procesory lze zneužít pomocí jednoduchého Javascriptu, prodejci prohlížečů spěchali s vydáním oprav, aby tento problém zmírnili.

V příspěvku na blogu, Microsoft vysvětlil změny, které provedl řešit v aktualizacích zabezpečení (KB4056890) pro podporované verze Edge a Internet Explorer, aby se zabývaly novou třídou „útoků postranním kanálem“.

Prvním je odstranění SharedArrayBuffer z Microsoft Edge (původně představeno v aktualizaci Windows 10 Fall Creators Update). SharedArrayBuffer je generický binární datový buffer, který lze použít ke generování pohledu na sdílenou paměť, což umožňuje různým webovým pracovníkům komunikovat efektivněji a s vyšším výkonem, a předpokládáme, že zneužití této funkce umožní škodlivým Javascriptovým aplikacím zobrazit části paměti, které nejsou míněny mít přístup k.

Druhým je snížení rozlišení performance.now() v Microsoft Edge a Internet Explorer z 5 mikrosekund na 20 mikrosekund, s proměnným jitterem až o dalších 20 mikrosekund. Performance.now() poskytuje procesům přesnost v řádu milisekund a změny snižují riziko úspěšného zneužití pomocí Javascriptu, protože útok spoléhá na přesné načasování.

I když jsou změny zmírněním, nejedná se o úplné řešení a Microsoft říká, že plánují zavést další zmírnění podle potřeby v budoucích verzích a mohou vrátit SharedArrayBuffer zpět, až to bude bezpečné.

Přečtěte si více o našem pokrytí zranitelností a reakci společnosti Microsoft zde.