Сбер AIJ 11.12.24
Сбер AIJ 11.12.24
Сбер AIJ 11.12.24

Обновление WebAssembly вновь сделает браузеры уязвимыми к Meltdown и Spectre

Новости

Поддержка в WebAssembly тредов с разделяемой памятью нивелирует защиту основных браузеров от Meltdown, Spectre и других атак по сторонним каналам.

881 открытий892 показов

Дополнение к стандарту WebAssembly — поддержка тредов с разделяемой памятью — нивелирует защиту основных браузеров от Meltdown, Spectre и других атак по сторонним каналам. Разработка по этой функции пока прекращена, однако, по словам команды-разработчика стандарта, пока неизвестно, что делать дальше.

Chrome, Edge, Firefox и Safari объявили о поддержке WebAssembly в ноябре 2017 года, спустя два года работы.

В чем суть проблемы?

Как только WebAssembly получит поддержку тредов с разделяемой памятью, станет возможным создание чрезвычайно точных таймеров на JavaScript, а это приведет к тому, что ограничения для защиты от атак по сторонним каналам перестанут работать. Об этом заявил Джон Бергбом(John Bergbom), специалист по информационной безопасности из Forcepoint.

Он сослался на атаки по времени, которые считаются подвидом атак по сторонним каналам. Тайминг-атаки — это класс криптографических атак, с помощью которых сторонние наблюдатели могут получать доступ к содержимому зашифрованных данных, отслеживая и анализируя время, требуемое для выполнения криптографических алгоритмов.

Атаки Meltdown и Spectre проводились через запускаемый в браузере JavaScript-код, использующий внутренние функции браузера вроде SharedArrayBuffer или performance.now(). Обновление WebAssembly позволит проводить подобные атаки с той же эффективностью.

Следите за новыми постами
Следите за новыми постами по любимым темам
881 открытий892 показов