DestaqueNotícias

Mozilla confirma que o ataque pode ser explorado através de JavaScript no Firefox. Google Chrome também!

2018 começou cheio de novidades e infelizmente, elas não são nem um pouco agradáveis para nós. Depois da divulgação dos ataques de sincronismo denominados Meltdown e Spectre que atingem todos os chipsets do mercado, incluindo processadores da Intel, AMD, ARM, a coisa não poderia ficar pior.

A Mozilla confirma que o ataque pode ser explorado através de JavaScript no navegador Firefox e também foi confirmado pela equipe do Google a brecha no navegador mais famoso atualmente, o Chrome.

Em experiências internas, a equipe da Mozilla confirma que é possível usar técnicas semelhantes de conteúdo da Web para ler informações privadas entre diferentes origens. Leia abaixo o comunicado:

Toda a extensão dessa classe de ataque ainda está sob investigação e estamos trabalhando com pesquisadores de segurança e outros fornecedores de navegador para entender completamente a ameaça e correções. Uma vez que essa nova classe de ataques envolve medir intervalos de tempo precisos, como uma redução parcial, a curto prazo, estamos desativando ou reduzindo a precisão de várias fontes de tempo no Firefox. Isto inclui ambas as fontes explícitas, como performance.now()e fontes implícitas que permitem a construção de temporizadores de alta resolução, viz., SharedArrayBuffer.

Especificamente, em todos os canais, começando com 57 o lançamento:

  • A resolução de now()será reduzida para 20 µs.
  • O recurso SharedArrayBufferestá sendo desativado por padrão.

Além disso, outras fontes de tempo e tempo de difusão técnicas estão sendo trabalhadas.

A longo prazo, começamos a fazer experiências com técnicas para remover o vazamento de informações mais perto da fonte, em vez de apenas esconder o vazamento, desativando temporizadores. Este projeto requer tempo para compreender, implementar e testar, mas pode permitir considerar a reabilitação SharedArrayBuffer e os outros temporizadores de alta resolução como esses recursos oferecem recursos importantes para a plataforma Web.

O roubo de dados pode ser facilmente executado, como é demonstrado abaixo:

No Google Chrome, a falha pode ser explorada em todas as plataformas, clique aqui e veja o que pode ser feito para diminuir ou tentar evitar os ataques.

No Windows, ao que parece, temos uma boa notícia, o sistema não tem um mapa físico direto, então, ele não pode ler apenas a percentagem de memória física que é mapeada para o espaço do kernel, evitando assim, que um JavaScript rodando em uma página da Web possa ler toda a memória física do sistema.

Vamos aguardar por mais novidades e uma divulgação oficial da Microsoft sobre o navegador Edge, mas, o assunto está fervendo!

Fique ligado e atualize seus navegadores!