Microsoft, Spectre güvenlik açığını gidermek için Edge'de yapılan değişiklikleri açıklıyor

Bilgisayarlarımızda çalışan en büyük bilinmeyen kod kaynağının web üzerinden olması ve yeni keşfedilen işlemciyle ilgili güvenlik açıklarından basit Javascript yoluyla yararlanılabilmesi nedeniyle, tarayıcı satıcıları sorunu azaltmak için yamalar yayınlamak için acele ediyor.

Bir blog gönderisinde Microsoft yaptıkları değişiklikleri açıkladı Edge ve Internet Explorer'ın desteklenen sürümlerine yönelik güvenlik güncellemelerinde (KB4056890) yeni "yan kanal saldırıları" sınıfını ele almak için.

İlki, SharedArrayBuffer'ın Microsoft Edge'den kaldırılmasıdır (başlangıçta Windows 10 Fall Creators Update'te tanıtılmıştır). PaylaşılanArrayBuffer paylaşılan bellek üzerinde bir görünüm oluşturmak için kullanılabilen, farklı web çalışanlarının daha verimli ve daha yüksek performansla iletişim kurmasını sağlayan genel bir ikili veri arabelleğidir ve bu özelliğin kötüye kullanımının kötü niyetli Javascript uygulamalarının belleğin kastetmedikleri kısımlarını görüntülemesine izin verdiğini varsayıyoruz. erişebilmek için.

İkincisi, Microsoft Edge ve Internet Explorer'da Performance.now()'un çözünürlüğünü 5 mikrosaniyeden 20 mikrosaniyeye, değişken titreşim ek 20 mikrosaniyeye kadar azaltmaktır. Performance.now(), süreçlere milisaniyenin altında bir hassasiyet verir ve saldırılar kesin zamanlamaya dayandığından, değişiklikler Javascript aracılığıyla başarılı bir açıktan yararlanma riskini azaltır.

Değişiklikler azaltıcı olsa da tam bir çözüm değiller ve Microsoft, gelecekteki sürümlerde gerektiğinde ek azaltmalar sunmayı planladıklarını ve güvenli olduğunda SharedArrayBuffer'ı geri getirebileceğini söylüyor.

Güvenlik açıklarıyla ilgili kapsamımız ve Microsoft'un yanıtı hakkında daha fazla bilgi edinin okuyun.