Microsoft objašnjava promjene napravljene na Edgeu kako bi se riješila ranjivost Spectre

Budući da je najveći izvor nepoznatog koda koji se izvodi na našim računalima putem weba i budući da se novootkrivene ranjivosti povezane s procesorom mogu iskoristiti putem jednostavnog Javascripta, dobavljači preglednika žure izdati zakrpe kako bi ublažili problem.

U postu na blogu, Microsoft je objasnio promjene koje su napravili adresirati u sigurnosnim ažuriranjima (KB4056890) za podržane verzije Edgea i Internet Explorera za rješavanje nove klase "napada sa strane".

Prvi je uklanjanje SharedArrayBuffera iz Microsoft Edgea (prvotno uveden u Windows 10 Fall Creators Update). SharedArrayBuffer je generički međuspremnik binarnih podataka koji se može koristiti za generiranje pogleda na dijeljenu memoriju, što omogućuje različitim web radnicima da komuniciraju učinkovitije i s većom izvedbom, a pretpostavljamo da zlouporaba ove značajke omogućuje zlonamjernim Javascript aplikacijama da pregledaju dijelove memorije za koje nisu namijenjeni imati pristup.

Drugi je smanjenje razlučivosti performance.now() u Microsoft Edgeu i Internet Exploreru s 5 mikrosekundi na 20 mikrosekundi, s promjenjivim podrhtavanjem do dodatnih 20 mikrosekundi. Performance.now() daje procesima preciznost ispod milisekunde, a promjene smanjuju rizik od uspješnog iskorištavanja putem Javascripta jer se napad oslanja na precizno vrijeme.

Iako su promjene ublažavanje, one nisu cjelovito rješenje, a Microsoft kaže da planiraju uvesti dodatna ublažavanja prema potrebi u budućim izdanjima i da mogu vratiti SharedArrayBuffer kada to bude sigurno.

Pročitajte više iz našeg pokrivanja ranjivosti i Microsoftovog odgovora ovdje.