Edge i Internet Explorer zabezpieczone przed atakami za pomocą JavaScript

Edge i Internet Explorer zabezpieczone przed atakami za pomocą JavaScript

Wojciech Błachno
12:48
04.01.2018
0 komentarzy
1005 wyświetleń

Ostatnie bardzo niepokojące informacje, na temat ogromnej luki w zabezpieczeniach procesorów, uczuliły wszystkich, a zwłaszcza deweloperów, na kwestie bezpieczeństwa swoich aplikacji. Microsoft błyskawicznie udostępnił łatkę dla systemu Windows, poprawiającą krytyczne błędy. Jednak nie tylko system operacyjny jest tutaj kluczowy. O bezpieczeństwo trzeba dbać również na poziomie aplikacji. Tutaj również Microsoft działa wzorcowo, uszczelniając zabezpieczenia przeglądarek Internet Explorer i Edge. Zrobił to za pomocą dwóch, stosunkowo niewielkich, lecz znaczących zmian wprowadzonych wraz z ostatnimi aktualizacjami bezpieczeństwa .

Łatka chroniąca Edge i IE przed atakami

Działania te mają na celu zmniejszenie prawdopodobieństwa ataku z wykorzystaniem JavaScript. Pierwszym krokiem było usunięcie wsparcia dla SharedArrayBuffer wprowadzonego do EdgeHTML 16 wraz z Fall Creators Update. Funkcja ta pozwalała na udostępniania danych między buforami tablic i mogła stwarzać potencjalną możliwość przechwycenia przesyłanych informacji. Drugą zmianą jest zmiana czasu działania metody performance.now() z 5 mikrosekund na 20 mikrosekund z dodatkowym marginesem błędu wynoszącym kolejne 20 mikrosekund.

Obie te zmiany mają na celu utrudnienie potencjalnego negatywnego wpływania na pamięć podręczną procesora, przez procesy przeglądarek. John Hazen, odpowiedzialny za Microsoft Edge, na oficjalnym blogu Microsoftu stwierdził:

Będziemy stale monitorować, oceniać i zwalczać negatywny wpływ wykrytych ostatnio luk w procesorach, na działanie naszych usług. Dokładnie ocenimy poziom bezpieczeństwa SharedArrayBuffer przed jego ponownym wprowadzeniem. Chcemy być pewni, że nie może być to użyte do jakiegokolwiek ataku.

Łatka zawierająca owe poprawki oznaczona jest numerem KB4056890. Takie skrupulatne podejście Microsoftu do kwestii bezpieczeństwa nie jest niczym nowym. Edge jest cały czas promowany jako nie tylko najszybsza ale i najbezpieczniejsza przeglądarka na rynku. Więc nie dziwi tak szybka i zdecydowana reakcja.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/

Polecamy również w kategorii Bezpieczeństwo

Komentarze

Skomentuj

Autor