Microsoft explica los cambios realizados en Edge para abordar la vulnerabilidad de Spectre

Debido a que la mayor fuente de código desconocido que se ejecuta en nuestras PC es a través de la web y debido a que las vulnerabilidades relacionadas con el procesador recién descubiertas pueden explotarse a través de un simple Javascript, los proveedores de navegadores se han apresurado a lanzar parches para mitigar el problema.

En una publicación de blog, Microsoft ha explicado los cambios que han realizado para abordar en las actualizaciones de seguridad (KB4056890) para las versiones compatibles de Edge e Internet Explorer para abordar la nueva clase de "ataques de canal lateral".

El primero es la eliminación de SharedArrayBuffer de Microsoft Edge (introducido originalmente en Windows 10 Fall Creators Update). Búfer de matriz compartida es un búfer de datos binarios genérico que se puede usar para generar una vista en la memoria compartida, lo que permite que diferentes trabajadores web se comuniquen de manera más eficiente y con un mayor rendimiento, y asumimos que el uso indebido de esta característica permite que las aplicaciones Javascript maliciosas vean partes de la memoria para las que no están destinadas. tener acceso a.

El segundo es reducir la resolución de performance.now() en Microsoft Edge e Internet Explorer de 5 microsegundos a 20 microsegundos, con una fluctuación variable de hasta 20 microsegundos adicionales. Performance.now() brinda a los procesos una precisión de submilisegundos y los cambios reducen el riesgo de una explotación exitosa a través de Javascript, ya que el ataque depende de una sincronización precisa.

Si bien los cambios son de mitigación, no son una solución completa, y Microsoft dice que planean introducir mitigaciones adicionales según sea necesario en versiones futuras y pueden recuperar SharedArrayBuffer cuando sea seguro hacerlo.

Lea más sobre nuestra cobertura de las vulnerabilidades y la respuesta de Microsoft esta página.