Microsoftは、Spectreの脆弱性に対処するためにEdgeに加えられた変更について説明しています

PCで実行されている未知のコードの最大のソースはWeb経由であり、新しく発見されたプロセッサ関連の脆弱性は単純なJavascriptを介して悪用される可能性があるため、ブラウザベンダーは、問題を軽減するためにパッチのリリースを急いでいます。

ブログ記事では、 マイクロソフトは彼らが行った変更について説明しました サポートされているバージョンのEdgeおよびInternetExplorerのセキュリティ更新プログラム（KB4056890）で対処し、新しいクラスの「サイドチャネル攻撃」に対処します。

10つ目は、Microsoft EdgeからのSharedArrayBufferの削除です（元々はWindows XNUMX Fall Creators Updateで導入されました）。 共有配列バッファ は、共有メモリのビューを生成するために使用できる汎用バイナリデータバッファです。これにより、さまざまなWebワーカーがより効率的に、より高いパフォーマンスで通信できるようになります。この機能を誤用すると、悪意のあるJavascriptアプリケーションが意図しないメモリの一部を表示できるようになると想定しています。アクセスする。

5つ目は、MicrosoftEdgeおよびInternetExplorerのperformance.now（）の解像度を20マイクロ秒から20マイクロ秒に減らし、最大でさらにXNUMXマイクロ秒の可変ジッターを使用することです。 Performance.now（）はプロセスにミリ秒未満の精度を提供し、攻撃は正確なタイミングに依存しているため、変更によりJavascriptを介したエクスプロイトが成功するリスクが軽減されます。

変更は緩和策ですが、完全なソリューションではありません。Microsoftは、将来のリリースで必要に応じて追加の緩和策を導入する予定であり、安全なときにSharedArrayBufferを復活させる可能性があると述べています。

脆弱性とマイクロソフトの対応に関する記事をもっと読む こちら.