Microsoft forklarer ændringer foretaget i Edge for at løse Spectre-sårbarheden

Fordi den største kilde til ukendt kode, der kører på vores pc'er, er via internettet, og fordi de nyligt opdagede processor-relaterede sårbarheder kan udnyttes via simpelt Javascript, har browserleverandører hastet med at frigive patches for at afhjælpe problemet.

I et blogindlæg, Microsoft har forklaret de ændringer, de har foretaget at adressere i sikkerhedsopdateringer (KB4056890) for understøttede versioner af Edge og Internet Explorer for at adressere den nye klasse af "sidekanalangreb".

Den første er fjernelse af SharedArrayBuffer fra Microsoft Edge (oprindeligt introduceret i Windows 10 Fall Creators Update). SharedArrayBuffer er en generisk binær databuffer, der kan bruges til at generere en visning af delt hukommelse, som lader forskellige webarbejdere kommunikere mere effektivt og med større ydeevne, og vi antager, at misbrug af denne funktion lader ondsindede Javascript-applikationer se dele af hukommelsen, som de ikke er beregnet til. at have adgang til.

Den anden er at reducere opløsningen af ​​performance.now() i Microsoft Edge og Internet Explorer fra 5 mikrosekunder til 20 mikrosekunder med variabel jitter på op til yderligere 20 mikrosekunder. Performance.now() giver processer sub-millisekunder præcision, og ændringerne reducerer risikoen for en vellykket udnyttelse via Javascript, da angrebet er afhængigt af præcis timing.

Selvom ændringerne er afbødende, er de ikke en komplet løsning, og Microsoft siger, at de planlægger at indføre yderligere begrænsninger efter behov i fremtidige udgivelser og kan bringe SharedArrayBuffer tilbage, når det er sikkert at gøre det.

Læs mere om vores dækning af sårbarhederne og Microsofts svar link..