Mozilla Firefox 57.0.4 發佈 修復重大 CPU 漏洞
Mozilla 發佈 Firefox 57.0.4 版本。新版本的 Firefox 旨在保護 Firefox 用戶免受 Meltdown 和 Spectre 攻擊。Meltdown 和 Spectre 是近 25 年來影響幾乎所有設備的 CPU 兩個漏洞。幾乎影響所有的手機和個人電腦。
這個漏洞使得 Intel,AMD 和 ARM 處理器都受到影響,作業系統(如 Windows 或 Linux)以及個別程式(如 Web 瀏覽器)也受到影響。Mozilla 找到了一個解決這個問題的方法。這個漏洞的攻擊依賴於精確的時間源,而 Mozilla 決定在 Firefox 瀏覽器中禁用或降低多個時間源的精度。
Mozilla 指出,已經在 Firefox 52 ESR 上禁用了 SharedArrayBuffer。
| Meltdown 和 Spectre Meltdown 和 Spectre 是藉近日發現在 CPU 的「推測執行」(speculative execution)安全漏洞而生的兩大攻擊手法。Meltdown 主要是打破了應用程式被禁止任意存取系統記憶體的保護機制,使得應用程式也能跟著存取到記憶體內的內容。Spectre 則是透過欺騙手法,讓其他應用程式能進到記憶體內的任意位置存取內容。兩者都是利用 side channel attackse 的方式,從存取的記憶體位置竊取機敏資訊。目前已知受攻擊的影響的品牌包括:Intel、ARM、AMD、NVIDIA、Microsoft、Amazon、Google、Apple、Red Hat、Debian、Ubuntu、SUSE、LLVM、VMWare、Citrix 的部分產品或服務。部分服務已釋出針對攻擊的更新,最新內容請參考各品牌的更新。 |
