DestaqueNotícias

Microsoft muda o comportamento do Microsoft Edge e do Internet Explorer para evitar ataques

E a Microsoft divulgou uma atualização para o navegador Edge e o Internet Explorer 11. Leia abaixo:

Ontem (3), o Google Project Zero publicou detalhes de uma classe de vulnerabilidades que pode ser explorada por ataques de lado-canal de execução especulativa. Estas técnicas podem ser usadas através de código JavaScript em execução no navegador, que pode permitir que atacantes obtém acesso a memória no processo do invasor.

A Microsoft lançou atualizações de segurança (KB4056890) com atenuações para esta classe de ataques. Como parte dessas atualizações, estamos fazendo mudanças para o comportamento das versões com suporte do Microsoft Edge e Internet Explorer 11 para mitigar a habilidade de ler com êxito a memória através dessa nova classe de ataques de lado-canal.

Inicialmente, estamos removendo o suporte para SharedArrayBuffer do Microsoft Edge (originalmente introduzida na atualização Fall Creators do Windows 10) e reduzindo a resolução de performance.now() no Microsoft Edge e Internet Explorer de 5 microssegundos para 20 microssegundos, com variável tremulação de até um adicional de 20 microssegundos. Estas duas alterações aumentam substancialmente a dificuldade de se inferir com êxito o conteúdo do cache de CPU de um processo de navegador.

Nós vamos continuar a avaliar o impacto das vulnerabilidades CPU publicada hoje e introduzir reduções adicionais em conformidade no futuro e manutenção de lançamentos. Nós reavaliaremos o lançamento do SharedArrayBuffer futuramente, assim que tivermos certeza de que não poderá ser usada como parte de um ataque bem sucedido.

— John Hazen, diretor principal PM do Microsoft Edge.

Fonte: Microsoft