2018 começou cheio de novidades e infelizmente, elas não são nem um pouco agradáveis para nós. Depois da divulgação dos ataques de sincronismo denominados Meltdown e Spectre que atingem todos os chipsets do mercado, incluindo processadores da Intel, AMD, ARM, a coisa não poderia ficar pior.
A Mozilla confirma que o ataque pode ser explorado através de JavaScript no navegador Firefox e também foi confirmado pela equipe do Google a brecha no navegador mais famoso atualmente, o Chrome.
Em experiências internas, a equipe da Mozilla confirma que é possível usar técnicas semelhantes de conteúdo da Web para ler informações privadas entre diferentes origens. Leia abaixo o comunicado:
Toda a extensão dessa classe de ataque ainda está sob investigação e estamos trabalhando com pesquisadores de segurança e outros fornecedores de navegador para entender completamente a ameaça e correções. Uma vez que essa nova classe de ataques envolve medir intervalos de tempo precisos, como uma redução parcial, a curto prazo, estamos desativando ou reduzindo a precisão de várias fontes de tempo no Firefox. Isto inclui ambas as fontes explícitas, como performance.now()e fontes implícitas que permitem a construção de temporizadores de alta resolução, viz., SharedArrayBuffer.
Especificamente, em todos os canais, começando com 57 o lançamento:
- A resolução de now()será reduzida para 20 µs.
- O recurso SharedArrayBufferestá sendo desativado por padrão.
Além disso, outras fontes de tempo e tempo de difusão técnicas estão sendo trabalhadas.
A longo prazo, começamos a fazer experiências com técnicas para remover o vazamento de informações mais perto da fonte, em vez de apenas esconder o vazamento, desativando temporizadores. Este projeto requer tempo para compreender, implementar e testar, mas pode permitir considerar a reabilitação SharedArrayBuffer e os outros temporizadores de alta resolução como esses recursos oferecem recursos importantes para a plataforma Web.
O roubo de dados pode ser facilmente executado, como é demonstrado abaixo:
Hello #Firefox, this is #Meltdown.
And these are your passwords.
Figures from the #Meltdown paper – see https://t.co/RPiT6M8Xv2 and https://t.co/wtyTUEBLJq
/cc @misc0110 @mlqxyz @yuvalyarom @stefanmangard #kpti #kaiser #intelbug pic.twitter.com/XhxVmGlEwV— Daniel Gruss (@lavados) January 4, 2018
No Google Chrome, a falha pode ser explorada em todas as plataformas, clique aqui e veja o que pode ser feito para diminuir ou tentar evitar os ataques.
No Windows, ao que parece, temos uma boa notícia, o sistema não tem um mapa físico direto, então, ele não pode ler apenas a percentagem de memória física que é mapeada para o espaço do kernel, evitando assim, que um JavaScript rodando em uma página da Web possa ler toda a memória física do sistema.
Good news: Windows doesn't have a direct physical map, so actually it can't, it can only read that proportion of physical memory that's mapped to kernel space.
— Pumpkin Fright????? (@DrPizza) January 4, 2018
Vamos aguardar por mais novidades e uma divulgação oficial da Microsoft sobre o navegador Edge, mas, o assunto está fervendo!
Fique ligado e atualize seus navegadores!
Comentários