Mozilla Firefox 57.0.4がリリースされました

Mozilla 解放された 2018年1月4日にFirefox 57.0.4からStableブラウザーチャネルへ。新しいバージョンのFirefoxには、MeltdownおよびSpectre攻撃からFirefoxユーザーを保護するために設計された2つのタイミングベースの緩和策が付属しています。

これらの脆弱性については、前にGhacksで説明しました。お勧めします 最初の記事をチェックしてください 概要の問題に対処するために、Windowsの更新プログラムをリリースするMicrosoftについて。

これだけです。最初にIntel固有の脆弱性と考えられていたものは、それよりも広く蔓延していることがわかりました。 Intel、AMD、およびARMプロセッサが影響を受け、WindowsやLinuxなどのオペレーティングシステム、さらにはWebブラウザなどの個々のプログラムも影響を受けます。

ヒント : Windows PCが影響を受けているかどうかを確認する 。

Firefox 57.0.4

firefox 57.0.4

Mozillaソフトウェアエンジニアのルークワグナーは、2018年1月3日にMozillaの公式ブログに記事を掲載し、脆弱性に対するMozillaの反応を説明しています。

記事の重要な部分は、Mozillaが問題を軽減する方法を見つけたことです。彼は、この問題を悪用する攻撃は正確なタイミングに依存していること、およびMozillaはFirefox Webブラウザーのいくつかのタイムソースの精度を無効にするかまたは下げることを決定したと述べています。

この新しいクラスの攻撃には、正確な時間間隔の測定が含まれるため、部分的で短期的な緩和策として、Firefoxのいくつかの時間ソースの精度を無効にするか、または低下させています。これには、performance.now()などの明示的なソースと、高解像度のタイマー、つまりSharedArrayBufferの構築を可能にする暗黙的なソースの両方が含まれます。

セキュリティ勧告 提供する 変更の詳細:

performance.now()の精度が5μsから20μsに減少し、SharedArrayBuffer機能を使用して高解像度タイマーを構築できるため、無効になりました。

Mozillaは、SharedArrayBufferがFirefox 52 ESRですでに無効になっていると指摘しています。

調査は脅威をよりよく理解し続けています。組織は、実験が長期的に脅威に対する保護を改善する技術を明らかにすることを期待しています。これにより、MozillaがFirefoxでのタイミングの変更を取り消す場合もあります。

Firefox 57.0.4は、ブラウザの自動更新機能によってすでに配布されています。メニュー>ヘルプ> Firefoxについてをクリックして、アップデートの手動チェックを実行できます。

Firefox 57.0.4も 利用可能 サポートされているすべてのオペレーティングシステム用の公式Mozilla Webサイトでのダウンロードとして。 Webサイトからインストーラーをダウンロードして、Firefoxを新規にインストールするか、代わりにFirefoxブラウザーの既存のリリースバージョンを更新できます。