Mozilla 确认英特尔处理器漏洞可通过 Web 进行利用 - 开源中国社区
Float_left Icon_close
Mozilla 确认英特尔处理器漏洞可通过 Web 进行利用
局长 2018年01月07日

Mozilla 确认英特尔处理器漏洞可通过 Web 进行利用

局长 局长 发布于2018年01月07日 收藏 4

阿里云高性能云服务器,2折起! >>> >>>  

Mozilla已经正式确认,最近披露的 Meltdown和Spectre CPU漏洞 —— 可能通过Web站点内容(比如JavaScript文件)进行漏洞利用,也就是说,用户可能因为访问某个网页而被提取信息。

这两个漏洞来自Google Zero Project安全研究团队,几乎影响到自1995年以来生产的所有CPU。这些漏洞影响会影响台式机,笔记本电脑,服务器,智能手机,智能设备以及云服务中的CPU。

谷歌表示,这两个漏洞可以被利用来窃取当前在计算机上进行处理的数据,其中包括存储在密码管理器或浏览器中的密码,个人照片,电子邮件,即时消息,甚至是商业信息,和其他关键文件。

Mozilla证实了最糟糕的后果

在FreeBuf昨天的报道《芯片级安全漏洞后续》中,谷歌发布的研究成果中并没有提供具体的攻击方法,但很多阅读了学术研究报告的安全专家表示,基于网络的攻击形态是完全可能的。也就是说,并非是在本地执行恶意代码。

谷歌成果公开的几个小时之后Mozilla证实了这种猜测,Meltdown和Spectre漏洞都可以远程利用!只需要通过网站页面的JavaScript文件就可以实施攻击。

我们的内部实验已经证实了,这种攻击可以使用Web方式读取不同来源的私人信息”

FireFox在 2017年11月版本中加入了防范措施

FireFox57版本中加入了一些防范策略,来阻止此类内存数据泄漏的攻击,但Mozilla同时也表示,这会降低Firefox部分功能的精度。

“ 这不是一个彻底的解决方案,而只是个追求效率和用了点小聪明的解决方法。”

具体来说,在所有 FireFox 57版本开始:

  –  performance.now()会将降低到20μs。
  –  SharedArrayBuffer功能会在默认情况下处于禁用状态。

Mozilla表示,他们会致力于更彻底地消除信息泄露的源头。

Google Chrome 64版本将在1月23日发布

Mozilla已经部署了修补程序,但Chrome还没有发布具备防范功能的新版本。

有趣的是,Google团队才是最早发现了这两个漏洞的一方。按照谷歌的说法,Chrome浏览器将在1月23日发布缓解措施,以防止在Chrome 64中发生Meltdown和Spectre恶意攻击。而在此之前,Google建议用户启用它在Chrome 63中发布的新安全功能,称为严格站点隔离。

其他厂商,包括微软,也发布了补丁。建议所有用户尽快更新到Firefox 57,并在发布后尽快更新到Chrome 64版本。

本次漏洞利用的Web攻击会是 最危险 的,因为这种形态下攻击会非常容易实施。

攻击者可以诱导用户访问存在恶意JavaScript的站点,并利用JavaScript通过网站广告感染大量用户;攻击者还可以干脆侵入网站并实施下载攻击,而用户无法发现这个合法网站已经遭受入侵。

截止目前,尚未明确苹果如何修复Safari浏览器。

来自:FreeBuf.COM

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Mozilla 确认英特尔处理器漏洞可通过 Web 进行利用
分享
评论(16)
精彩评论
3

引用来自“kchr”的评论

上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。
干脆别上网了,看报纸比较安全
3
上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。
2

引用来自“kchr”的评论

上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。

引用来自“鳄鱼的眼泪”的评论

干脆别上网了,看报纸比较安全
看报纸哪里安全,那些油墨天天闻,容易致癌。做白日梦最安全。��
2
web都能攻击就可怕了
最新评论
0

引用来自“kchr”的评论

上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。

引用来自“远歌k”的评论

你可以用你的意念来获取信息
我看, 是你习惯了生活在垃圾之中, 网页如果不是每 5 秒跳出一个广告, 感觉就不正常.
0

引用来自“kchr”的评论

上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。
你可以用你的意念来获取信息
0
假新闻、借热点
2

引用来自“kchr”的评论

上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。

引用来自“鳄鱼的眼泪”的评论

干脆别上网了,看报纸比较安全
看报纸哪里安全,那些油墨天天闻,容易致癌。做白日梦最安全。��
0
上次听说某些电脑,用一个U盘就可以接管系统!另外,这个漏洞,在此之前,是不是被暗暗地利用了N次?(N>>1)
0
总而言之,CPU底层设计就是已经是存在问题了,漏洞了~~
0
也就是一些垃圾代码和cos pics,随便泄,看谁闲的蛋疼会去看
0

引用来自“kerneler”的评论

希望javascript这个不完整 不规矩的语言早点退出时代
硬件问题关js什么事
0
已经禁用WebAssembly了,这比JS还危险。
0
希望javascript这个不完整 不规矩的语言早点退出时代
3

引用来自“kchr”的评论

上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。
干脆别上网了,看报纸比较安全
0

引用来自“kchr”的评论

上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。
noscript,必须的
2
web都能攻击就可怕了
3
上网本来就应该,浏览器设置为自动清除一切痕迹,默认禁止一切 js。然后重要网站比如 mozilla 本身等,加白名单。其它都算垃圾网站,确有需要,本次会话,临时允许运行一下。

我是装 noscript 插件。
0
第一次用 Firefox 用出了优越感
0
这就尴尬了,本来还以为与我无关不怕呢
顶部