Microsoft объясняет изменения, внесенные в Edge для устранения уязвимости Spectre
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Поскольку самый большой источник неизвестного кода, работающего на наших ПК, — это Интернет, а недавно обнаруженные уязвимости, связанные с процессором, могут быть использованы с помощью простого Javascript, производители браузеров торопятся выпускать исправления, чтобы смягчить проблему.
В блоге, Microsoft объяснила внесенные ими изменения в обновлениях безопасности (KB4056890) для поддерживаемых версий Edge и Internet Explorer для устранения нового класса «атак по сторонним каналам».
Во-первых, это удаление SharedArrayBuffer из Microsoft Edge (первоначально представленное в Windows 10 Fall Creators Update). ШаредАррайбуффер — это общий буфер двоичных данных, который можно использовать для создания представления об общей памяти, что позволяет различным веб-работникам взаимодействовать более эффективно и с большей производительностью, и мы предполагаем, что неправильное использование этой функции позволяет вредоносным приложениям Javascript просматривать части памяти, которые им не предназначены. иметь доступ к.
Во-вторых, уменьшить разрешение performance.now() в Microsoft Edge и Internet Explorer с 5 микросекунд до 20 микросекунд с переменным дрожанием до дополнительных 20 микросекунд. Performance.now() дает процессам точность менее миллисекунды, а изменения снижают риск успешного эксплойта через Javascript, поскольку атака зависит от точного времени.
Несмотря на то, что изменения являются мерой, они не являются полным решением, и Microsoft заявляет, что планирует ввести дополнительные меры по мере необходимости в будущих выпусках и может вернуть SharedArrayBuffer, когда это будет безопасно.
Узнайте больше о нашем освещении уязвимостей и ответе Microsoft здесь.