POZABITE
Novejše spletne tehnologije, kot sta WebAssembly in Rust, pomagajo znatno zmanjšati čas, potreben za dokončanje nekaterih procesov na strani odjemalca med nalaganjem strani, vendar razvijalci zdaj objavljajo nove informacije, ki bi lahko v prihodnjih tednih privedle do popravkov za te aplikacijske platforme. .
Za WebAssembly je načrtovanih več dodatkov in posodobitev, ki bi lahko hipotetično naredili nekatera ublažitve napada Meltdown in Spectre neuporabnimi. Poročilo, ki ga je objavil raziskovalec iz Forcepointa, je namigovalo, da je mogoče module WebAssembly uporabljati za nesramne namene, nekatere vrste časovnih napadov pa bi se dejansko lahko poslabšale zaradi novih rutin, ki naj bi platformo naredile bolj dostopno za kodirnike.
Časovni napadi so podrazred izkoriščanja stranskih kanalov, ki opazovalcem tretjih oseb omogočajo, da pokukajo v šifrirane podatke, tako da ugotovijo, kako dolgo traja izvajanje kriptografskega algoritma. Meltdown, Spectre in druge s tem povezane ranljivosti, ki temeljijo na CPE, so vsi primeri časovnih napadov.
Poročilo nakazuje, da bi WebAssembly te izračune olajšal. Že se uporablja kot vektor napada za namestitev programske opreme za pridobivanje kriptovalut brez dovoljenja, in to je lahko tudi področje, kjer bodo potrebni novi popravki, da se prepreči nadaljnja zloraba. To lahko pomeni, da bodo popravki za te posodobitve morda morali izhajati po izdaji večini uporabnikov.
Mozilla je poskušala težavo s časovnimi napadi do neke mere ublažiti tako, da je zmanjšala natančnost nekaterih števcev zmogljivosti, toda novi dodatki WebAssembly bi to lahko naredili neveljavne, saj bi te posodobitve omogočale izvajanje neprozorne kode na uporabnikovem računalniku. Ta koda bi se teoretično lahko najprej napisala v jeziku višje ravni, preden se znova prevede v bajtno kodo WASM.
Ekipa, ki razvija Rust, tehnologijo, ki jo je promovirala tudi sama Mozilla, je uvedla postopek razkritja v petih korakih in 24-urna e-poštna potrdila za vsa poročila o napakah. Čeprav se zdi, da je njihova varnostna skupina trenutno precej majhna, je to več kot verjetno nekoliko podobno pristopu, ki ga bodo pri reševanju tovrstnih težav uporabili številni novejši konzorciji aplikacijske platforme.
Končne uporabnike tako kot vedno pozivamo, naj namestijo ustrezne posodobitve, da bi zmanjšali splošno tveganje za razvoj ranljivosti, povezanih z izkoriščanjem na osnovi CPU.
Oznake spletna varnost
