Mozilla已經(jīng)正式確認(rèn)，最近披露的 Meltdown和Spectre CPU漏洞 —— 可能通過 Web 站點(diǎn)內(nèi)容（比如JavaScript文件）進(jìn)行漏洞利用，也就是說，用戶可能因?yàn)樵L問某個(gè)網(wǎng)頁而被提取信息。 這兩個(gè)漏洞來自Google Zero Project 安全研究團(tuán)隊(duì)，幾乎影響到自 1995 年以來生產(chǎn)的所有CPU。這些漏洞影響會(huì)影響臺(tái)式機(jī)，筆記本電腦，服務(wù)器，智能手機(jī)，智能設(shè)備以及云服務(wù)中的CPU。 谷歌表示，這兩個(gè)漏洞可以被利用來竊取當(dāng)前在計(jì)算機(jī)上進(jìn)行處理的數(shù)據(jù)，其中包括存儲(chǔ)在密碼管理器或?yàn)g覽器中的密碼，個(gè)人照片，電子郵件，即時(shí)消息，甚至是商業(yè)信息，和其他關(guān)鍵文件。 谷歌發(fā)布的研究成果中并沒有提供具體的攻擊方法，但很多閱讀了學(xué)術(shù)研究報(bào)告的安全專家表示，基于網(wǎng)絡(luò)的攻擊形態(tài)是完全可能的。也就是說，并非是在本地執(zhí)行惡意代碼。 谷歌成果公開的幾個(gè)小時(shí)之后 Mozilla證實(shí)了這種猜測(cè)，Meltdown和Spectre漏洞都可以遠(yuǎn)程利用！只需要通過網(wǎng)站頁面的JavaScript文件就可以實(shí)施攻擊。 FireFox57版本中加入了一些防范策略，來阻止此類內(nèi)存數(shù)據(jù)泄漏的攻擊，但Mozilla 同時(shí)也表示，這會(huì)降低Firefox部分功能的精度。 具體來說，在所有 FireFox 57版本開始： – performance.now（）會(huì)將降低到20μs。 - SharedArrayBuffer功能會(huì)在默認(rèn)情況下處于禁用狀態(tài)。 Mozilla表示，他們會(huì)致力于更徹底地消除信息泄露的源頭。 Mozilla已經(jīng)部署了修補(bǔ)程序，但 Chrome 還沒有發(fā)布具備防范功能的新版本。 有趣的是，Google團(tuán)隊(duì)才是最早發(fā)現(xiàn)了這兩個(gè)漏洞的一方。按照谷歌的說法，Chrome瀏覽器將在1月23日發(fā)布緩解措施，以防止在 Chrome 64中 發(fā)生Meltdown和Spectre 惡意攻擊。而在此之前，Google 建議用戶啟用它在 Chrome 63中發(fā)布的新安全功能，稱為嚴(yán)格站點(diǎn)隔離。 其他廠商，包括微軟，也發(fā)布了補(bǔ)丁。建議所有用戶盡快更新到 Firefox 57，并在發(fā)布后盡快更新到 Chrome 64 版本。 本次漏洞利用的Web攻擊會(huì)是 最危險(xiǎn) 的，因?yàn)檫@種形態(tài)下攻擊會(huì)非常容易實(shí)施。 攻擊者可以誘導(dǎo)用戶訪問存在惡意JavaScript的站點(diǎn)，并利用 JavaScript 通過網(wǎng)站廣告感染大量用戶；攻擊者還可以干脆侵入網(wǎng)站并實(shí)施下載攻擊，而用戶無法發(fā)現(xiàn)這個(gè)合法網(wǎng)站已經(jīng)遭受入侵。

本文地址：http://www.gle-technology.com/safety/26088.html