Webes támadásokat is segíthetnek a processzorhibák
A Mozilla fejlesztői megerősítették, hogy a processzorokban felfedezett biztonsági rések webes támadások során is kihasználhatóvá válhatnak. Ezért a böngészők frissítésére is szükség van.Az elmúlt napokban a biztonsági hírek élen a különféle processzorok kapcsán feltárt sebezhetőségek szerepelnek. Kezdetben annyi volt biztos, hogy az Intel korszerű CPU-i sérülékenyek, de aztán kiderült, hogy ennél kiterjedtebb problémáról van szó. Alapvetően két biztonsági résről beszélünk, amelyek közül az egyik a Meltdown, míg a másik a Spectre nevet viseli. Az előbbi kizárólag az Intel processzorait sújtja, és a kernel által használt memóriához adhat jogosulatlan hozzáférést. A Spectre viszont az Intel processzorok mellett az AMD, valamint az ARM chipeket is veszélyezteti, és folyamatok közötti adatszivárgásra ad módot.
A két sérülékenységet a Google szakembereinek hathatós közreműködésével sikerült kimutatni. A hibákról mind az operációs rendszerek gyártói, mind a böngészőfejlesztők tudtak, és már készítették a szükséges frissítéseket.
A sérülékenységek nyilvánosságra kerülésekor a szakemberek leginkább arról beszéltek, hogy a biztonsági hibák lokálisan használhatók ki. Vagyis egy támadónak valamilyen módon hozzáférést kell szereznie a kiszemelt számítógéphez, hogy a támadás kivitelezhető legyen. Csakhogy később felmerült, hogy a távoli károkozásokat sem lehet kizárni. Noha a Google egyelőre nem közölt konkrét, webes támadási módszereket, az azért sejthető volt, hogy a web alapú károkozások kockázatát sem lehet teljes mértékben kizárni. Sőt a Mozilla immár hivatalosan is jelezte, hogy a belső vizsgálatai azt mutatták, hogy webes támadásokhoz is hozzájárulhat a két hiba.
A Firefox fejlesztői szerint akár JavaScriptek segítségével is elérhető, hogy a processzorok sebezhetőségein keresztül a támadók jogosulatlanul férjenek hozzá bizalmas adatokhoz. Miközben egy ilyen JavaScript kód végrehajtódik, aközben a támadó a felhasználó által egyéb weboldalakon megadott adatokat megkaparinthatja.
Böngészős óvintézkedések
A Microsoft a Windows kernel frissítése mellett az Edge és az Internet Explorer böngészőihez is adott ki soron kívüli hibajavításokat. A Google - annak ellenére, hogy a biztonsági csoportja járt élen a Meltdown és a Spectre elleni küzdelem megszervezésében - a Chrome böngészőt még nem látta el a szükséges javításokkal. Erre várhatóan január 23-án kerül sor, amikor a Chrome 64-es verziója letölthetővé válik.
A Mozilla pedig a Firefox 57-es verziójának tavalyi kiadásával kezdte meg a kockázatcsökkentést, de elismerte, hogy az eddig alkalmazott megoldások még nem teljes körűek. Eddig leginkább az időkezelést végző függvényeken módosított. Így például a performance.now() függvény pontosságát 20 mikroszekundumra csökkentette, és alapértelmezés szerint kikapcsolta a SharedArrayBuffer funkciót.
Mivel a következő időszakban számos frissítés fog még elérhetővé válni mind az operációs rendszerekhez, mind az érintett alkalmazásokhoz, ezért a szokásosnál is jobban érdemes figyelni a biztonsági frissítések telepítésére.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.