Security Alert: Firefox gegen Spectre

Die Entwickler des Mozilla Firefox haben das Update auf 57.0.4 freigegeben, um dort die durch Spectre bekanntgewordene Sicherheitslücke zu beheben:

Die Untersuchungen der beiden in Mikroprozessoren bestehenden, unter dem Namen »Spectre« bekannt gewordenen Schwachstellen hat ergeben, daß die bisher als lokal oder auf das eigene Netzwerk beschränkt angesehenenAngriffe sich mit Hilfe von JavaScript-Engines in Browsern auch auf entfernte Ziele erweitern lassen. Ein entfernter, nicht authentisierter Angreifer kann dies mit Hilfe speziell präparierter Webseiten ausnutzen, um Daten von anderen Webseiten auszulesen (und damit die Same-Policy-Origin zu umgehen) oder Daten aus dem Browser selbst auszuspähen.

Daher haben die Programmierer Time-Out-Zeiten herabgesetzt und die Funktion SharedArrayBuffer abgeschaltet, weil diese wieder höhere Time-Out-Zeiten einstellen kann. Ob dadurch eine 100-prozentige Sicherheit garantiert werden kann, liegt jenseits meiner Kenntnisse, aber besser als gar nichts ist es auf jeden Fall.

Firefox weist selbst auf dieses Update hin. Diese Prozedur kann aber auch wie immer über das Menü Hilfe > Über Firefox angestoßen werden. (Mein persönlicher CERT per Email.)

(Kommentieren)