Оновлення WebAssembly може порушити роботу патчів Meltdown і Spectre

1 хв. читання

Оновлення стандарту WebAssembly може порушити роботу патчів, які виправляють уразливості Meltdown і Spectre, повідомив дослідник безпеки з компанії Forcepoint Джон Бергбом (John Bergbom).

WebAssembly (WA або Wasm) — нова технологія, яка була випущена в минулому році та вже підтримується усіма основними браузерами, як Chrome, Edge, Firefox і Safari. Технологія являє собою компактну двійкову мову, яку браузер перетворює на машинний код і запускає безпосередньо на центральному процесорі.

Розробники браузерів створили WebAssembly для підвищення швидкості та продуктивності коду JavaScript, проте як додаткову функцію вони також розробили спосіб перенесення коду з інших мов, таких як C, C++ та інші, у Wasm. Як вважає дослідник, у WebAssembly може бути ще одна побічна функція.

«Як тільки Wasm отримає підтримку потоків з пам'яттю, можуть бути створені дуже точні таймери, які можуть зробити можливими атаки по сторонніх каналах в браузері»

Коли Meltdown і Spectre були виявлені у січні цього року, дослідники опублікували PoC-код, який зловмисник міг використовувати для експлуатації вразливостей через браузер. Цей код використовував внутрішні вбудовані функції браузерів для вимірювання часових інтервалів, таких як «SharedArrayBuffer» і «performance.now()».

Firefox і Chrome відразу ж відреагували, випустивши оновлення, які знижували точність таймерів в даних функціях. Однак, за словами експерта, після того, як підтримка потоків буде додана в WebAssembly, виправлення для браузерів перестануть діяти, оскільки у зловмисників з'явиться новий спосіб вимірювання точного часу через WebAssembly.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 1.6K
Приєднався: 1 рік тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід