Pamiršti
Naujesnės žiniatinklio technologijos, tokios kaip „WebAssembly“ ir „Rust“, padeda masiškai sutrumpinti laiką, reikalingą tam tikriems kliento procesams užbaigti įkeliant puslapius, tačiau kūrėjai dabar skelbia naują informaciją, dėl kurios artimiausiomis savaitėmis gali atsirasti šių programų platformų pataisų. .
Numatomi keli „WebAssembly“ papildymai ir atnaujinimai, kurie hipotetiškai gali padaryti kai kuriuos „Meltdown“ ir „Spectre“ atakų sušvelninimus nenaudingus. „Forcepoint“ tyrėjo parengtoje ataskaitoje teigiama, kad „WebAssembly“ moduliai gali būti naudojami kenksmingiems tikslams, o tam tikros rūšies laiko atakos iš tikrųjų gali pablogėti dėl naujų rutinų, skirtų platformai padaryti prieinamesnę koderiams.
Laiko atakos yra šalutinių kanalų išnaudojimų poklasis, leidžiantis trečiosios šalies stebėtojui žvilgtelėti į užšifruotus duomenis, išsiaiškinant, kiek laiko reikia atlikti kriptografinį algoritmą. „Meltdown“, „Spectre“ ir kitos susijusios su procesoriumi susijusios spragos yra laiko atakų pavyzdžiai.
Ataskaitoje teigiama, kad „WebAssembly“ padėtų šiuos skaičiavimus padaryti daug lengviau. Jis jau buvo naudojamas kaip atakos vektorius diegiant kriptovaliutų kasybos programinę įrangą be leidimo, ir tai taip pat gali būti sritis, kurioje reikės naujų pataisų, kad būtų išvengta tolesnio piktnaudžiavimo. Tai gali reikšti, kad šių naujinimų pataisas gali tekti išleisti po to, kai jie bus išleisti daugumai vartotojų.
„Mozilla“ bandė tam tikru mastu sušvelninti atakų laiko problemą, atsisakydama kai kurių našumo skaitiklių tikslumo, tačiau dėl naujų „WebAssembly“ papildymų tai gali nebebūti veiksminga, nes šie atnaujinimai gali leisti nepermatomą kodą vykdyti vartotojo kompiuteryje. Teoriškai šis kodas pirmiausia gali būti parašytas aukštesnio lygio kalba, kol jis bus perkompiliuotas į WASM baitų kodo formatą.
Komanda, kurianti „Rust“, kurią „Mozilla“ pati reklamavo, pristatė penkių pakopų atskleidimo procesą ir 24 valandų el. Pašto patvirtinimus visiems pranešimams apie klaidas. Nors jų saugumo komanda šiuo metu atrodo gana maža, tai daugiau nei tikėtina, kad šiek tiek panašu į požiūrį, kurio laikysis daugelis naujesnių programų platformos konsorciumų, spręsdami tokio pobūdžio problemas.
Galutiniai vartotojai, kaip visada, raginami įdiegti atitinkamus naujinimus, kad būtų sumažinta bendra su CPU pagrįstais pažeidimais susijusių pažeidžiamumų atsiradimo rizika.
Žymos interneto sauga
