Microsoft explică modificările aduse Edge pentru a aborda vulnerabilitatea Spectre

Deoarece cea mai mare sursă de cod necunoscut care rulează pe computerele noastre este via web și pentru că vulnerabilitățile nou descoperite legate de procesor pot fi exploatate prin Javascript simplu, furnizorii de browsere s-au grăbit să lanseze patch-uri pentru a atenua problema.

Într-un post pe blog, Microsoft a explicat modificările pe care le-au făcut pentru a aborda actualizările de securitate (KB4056890) pentru versiunile acceptate de Edge și Internet Explorer pentru a aborda noua clasă de „atacuri pe canalul lateral”.

Prima este eliminarea SharedArrayBuffer din Microsoft Edge (introdus inițial în Windows 10 Fall Creators Update). SharedArrayBuffer este un buffer generic de date binare care poate fi utilizat pentru a genera o vizualizare a memoriei partajate, care permite diferiților lucrători web să comunice mai eficient și cu performanțe mai mari și presupunem că utilizarea greșită a acestei caracteristici permite aplicațiilor Javascript rău intenționate să vadă părți din memorie la care nu sunt destinate pentru a avea acces la.

Al doilea este reducerea rezoluției performance.now() în Microsoft Edge și Internet Explorer de la 5 microsecunde la 20 microsecunde, cu fluctuații variabile de până la 20 microsecunde suplimentare. Performance.now() oferă proceselor o precizie sub milisecundă, iar modificările reduc riscul unei exploatări de succes prin Javascript, deoarece atacul se bazează pe o sincronizare precisă.

Deși modificările sunt de atenuare, nu sunt o soluție completă și Microsoft spune că intenționează să introducă atenuări suplimentare, după cum este necesar, în versiunile viitoare și ar putea aduce SharedArrayBuffer înapoi atunci când este sigur să facă acest lucru.

Citiți mai multe despre acoperirea noastră a vulnerabilităților și răspunsul Microsoft aici.