Microsoft spiega le modifiche apportate a Edge per risolvere la vulnerabilità di Spectre

Poiché la principale fonte di codice sconosciuto in esecuzione sui nostri PC è tramite il Web e poiché le nuove vulnerabilità relative al processore scoperte possono essere sfruttate tramite un semplice Javascript, i fornitori di browser si sono affrettati a rilasciare patch per mitigare il problema.

In un post del blog, Microsoft ha spiegato le modifiche apportate da affrontare negli aggiornamenti della sicurezza (KB4056890) per le versioni supportate di Edge e Internet Explorer per affrontare la nuova classe di "attacchi side-channel".

Il primo è la rimozione di SharedArrayBuffer da Microsoft Edge (introdotto originariamente in Windows 10 Fall Creators Update). Buffer Array Condiviso è un buffer di dati binario generico che può essere utilizzato per generare una vista sulla memoria condivisa, che consente a diversi web worker di comunicare in modo più efficiente e con prestazioni maggiori, e presumiamo che l'uso improprio di questa funzione consenta alle applicazioni Javascript dannose di visualizzare parti di memoria non destinate a cui avere accesso.

Il secondo consiste nel ridurre la risoluzione di performance.now() in Microsoft Edge e Internet Explorer da 5 microsecondi a 20 microsecondi, con jitter variabile fino a 20 microsecondi aggiuntivi. Performance.now() fornisce ai processi una precisione inferiore al millisecondo e le modifiche riducono il rischio di un exploit riuscito tramite Javascript poiché l'attacco si basa su tempi precisi.

Sebbene le modifiche siano una mitigazione, non sono una soluzione completa e Microsoft afferma che prevede di introdurre ulteriori mitigazioni secondo necessità nelle versioni future e potrebbe riportare SharedArrayBuffer quando è sicuro farlo.

Leggi di più sulla nostra copertura delle vulnerabilità e sulla risposta di Microsoft qui.