Gisteren werd bekend dat er in de vorm van Meltdown en Spectre twee kwetsbaarheden in processors zit waardoor gevoelige informatie als wachtwoorden in potentie gestolen kunnen worden. Voor meltdown zijn inmiddels patches voor besturingssystemen, terwijl er tegen Spectre nog geen patches zijn. Mozilla heeft vandaag met Firefox 57.0.4 een nieuwe versie van hun browser uitgebracht waarin bescherming tegen Spectre is opgenomen.
Minder nauwkeurige tijdsmeting
Na het bekend worden van Spectre bleek dankzij onderzoek van Microsoft Vulnerability Research dat de kwetsbaarheid in browsers uitgebuit kan worden via JavaScript. Een kwaadwillende website kan zo data stelen van andere websites of privacygevoelige informatie uit de browser zelf, zoals wachtwoorden. Ook Mozilla zelf kwam na eigen experimenten tot de conclusie dat het dankzij de kwetsbaarheden mogelijk was voor een kwaadwillende website om gegevens te stelen. De aanvallen vertrouwen op nauwkeurige tijdsintervallen. Mozilla heeft daarom de precisie van de tijdsmetingen in Firefox 57.0.4 verminderd.
