Microsoft förklarar ändringar som gjorts i Edge för att ta itu med Spectre-sårbarheten

Eftersom den största källan till okänd kod som körs på våra datorer är via webben och eftersom de nyligen upptäckta processorrelaterade sårbarheterna kan utnyttjas via enkelt Javascript, har webbläsarleverantörer skyndat sig att släppa patchar för att mildra problemet.

I ett blogginlägg, Microsoft har förklarat ändringarna de gjorde att adressera i säkerhetsuppdateringar (KB4056890) för versioner av Edge och Internet Explorer som stöds för att ta itu med den nya klassen av "sidokanalsattacker".

Den första är borttagningen av SharedArrayBuffer från Microsoft Edge (ursprungligen introducerad i Windows 10 Fall Creators Update). SharedArrayBuffer är en generisk binär databuffert som kan användas för att generera en vy över delat minne, vilket låter olika webbarbetare kommunicera mer effektivt och med högre prestanda, och vi antar att missbruk av den här funktionen gör att skadliga Javascript-program kan se delar av minnet som de inte är menade. att ha tillgång till.

Det andra är att minska upplösningen för performance.now() i Microsoft Edge och Internet Explorer från 5 mikrosekunder till 20 mikrosekunder, med variabelt jitter på upp till ytterligare 20 mikrosekunder. Performance.now() ger processer sub-millisekunder precision och ändringarna minskar risken för en lyckad exploatering via Javascript eftersom attacken är beroende av exakt timing.

Även om ändringarna är begränsningar, är de inte en komplett lösning, och Microsoft säger att de planerar att införa ytterligare begränsningar efter behov i framtida utgåvor och kan ta tillbaka SharedArrayBuffer när det är säkert att göra det.

Läs mer om vår täckning av sårbarheterna och Microsofts svar här..