Mozillla确认近日传出的CPU漏洞Meltdown和Spectre， 不需要使用者执行本地的程式码，只要上网浏览， 就可能经由网页载入和执行的JS而受到攻击， 证实了使用者最担忧发生的情形。 由於这些漏洞的资讯在去年已经分享给Mozilla， 所以去年推出的Firefox 57版已经针对这些漏洞提出缓解。 由於利用这些漏洞的攻击需要仰赖精确的时间差来侦测快取的内容， 所以Fx57暂时的缓解是降低了几个时钟源的精度， 例如performance.now()、将SharedArrayBuffer预设停用。 这些暂时的缓解不能完全解决bug， 但是可以有效的妨碍利用这些漏洞的攻击成功的获取正确的资讯。 Mozilla表示他们在试验新的缓解技术，可以彻底消除资讯的泄漏。 而Google Chrome预计将会在1月23号发行的v64版推送这些漏洞的缓解， 在那之前，Google建议使用者启用v63版的Strict Site Isolation功能， 这个功能可以隔离非同源的网页捞取其他分页的资讯， 避免储存在其他网站资讯泄漏。 来源： https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/ https://goo.gl/EpUfpM --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.81 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1515090169.A.7A8.html