Webes támadásokat is segíthetnek a processzorhibák

A Mozilla fejlesztői megerősítették, hogy a processzorokban felfedezett biztonsági rések webes támadások során is kihasználhatóvá válhatnak. Ezért a böngészők frissítésére is szükség van.
 

Az elmúlt napokban a biztonsági hírek élen a különféle processzorok kapcsán feltárt sebezhetőségek szerepelnek. Kezdetben annyi volt biztos, hogy az Intel korszerű CPU-i sérülékenyek, de aztán kiderült, hogy ennél kiterjedtebb problémáról van szó. Alapvetően két biztonsági résről beszélünk, amelyek közül az egyik a Meltdown, míg a másik a Spectre nevet viseli. Az előbbi kizárólag az Intel processzorait sújtja, és a kernel által használt memóriához adhat jogosulatlan hozzáférést. A Spectre viszont az Intel processzorok mellett az AMD, valamint az ARM chipeket is veszélyezteti, és folyamatok közötti adatszivárgásra ad módot. 

A két sérülékenységet a Google szakembereinek hathatós közreműködésével sikerült kimutatni. A hibákról mind az operációs rendszerek gyártói, mind a böngészőfejlesztők tudtak, és már készítették a szükséges frissítéseket. 

A sérülékenységek nyilvánosságra kerülésekor a szakemberek leginkább arról beszéltek, hogy a biztonsági hibák lokálisan használhatók ki. Vagyis egy támadónak valamilyen módon hozzáférést kell szereznie a kiszemelt számítógéphez, hogy a támadás kivitelezhető legyen. Csakhogy később felmerült, hogy a távoli károkozásokat sem lehet kizárni. Noha a Google egyelőre nem közölt konkrét, webes támadási módszereket, az azért sejthető volt, hogy a web alapú károkozások kockázatát sem lehet teljes mértékben kizárni. Sőt a Mozilla immár hivatalosan is jelezte, hogy a belső vizsgálatai azt mutatták, hogy webes támadásokhoz is hozzájárulhat a két hiba. 

A Firefox fejlesztői szerint akár JavaScriptek segítségével is elérhető, hogy a processzorok sebezhetőségein keresztül a támadók jogosulatlanul férjenek hozzá bizalmas adatokhoz. Miközben egy ilyen JavaScript kód végrehajtódik, aközben a támadó a felhasználó által egyéb weboldalakon megadott adatokat megkaparinthatja. 

Böngészős óvintézkedések

A Microsoft a Windows kernel frissítése mellett az Edge és az Internet Explorer böngészőihez is adott ki soron kívüli hibajavításokat. A Google - annak ellenére, hogy a biztonsági csoportja járt élen a Meltdown és a Spectre elleni küzdelem megszervezésében - a Chrome böngészőt még nem látta el a szükséges javításokkal. Erre várhatóan január 23-án kerül sor, amikor a Chrome 64-es verziója letölthetővé válik. 

A Mozilla pedig a Firefox 57-es verziójának tavalyi kiadásával kezdte meg a kockázatcsökkentést, de elismerte, hogy az eddig alkalmazott megoldások még nem teljes körűek. Eddig leginkább az időkezelést végző függvényeken módosított. Így például a performance.now() függvény pontosságát 20 mikroszekundumra csökkentette, és alapértelmezés szerint kikapcsolta a SharedArrayBuffer funkciót. 

Mivel a következő időszakban számos frissítés fog még elérhetővé válni mind az operációs rendszerekhez, mind az érintett alkalmazásokhoz, ezért a szokásosnál is jobban érdemes figyelni a biztonsági frissítések telepítésére.