2018年1月3日,也就是2018年元旦刚过,就有研究人员爆出CPU漏洞,这两个CPU漏洞分别称之为 Meltdown 和 Spectre ,包括Intel、AMD、Arm等主流电脑和手机CPU都存在该漏洞,微软、谷歌、火狐发出警告称攻击者可以通过浏览器利用该CPU漏洞获取我们的账户密码等敏感信息。
微软Edge浏览器:
在Windows10创新者版中,微软Edge浏览器新增加了 SharedArrayBuffer 功能,该功能主要用于JS性能优化,允许不同的执行线程共享相同的数据,而不是每个线程都需要读取单独的数据,为了避免数据泄露,微软将禁用该功能,但这会降低Edge浏览器性能,微软表示将继续深入研究这两个CPU漏洞,以便在未来可以更安全地启用 SharedArrayBuffer 功能。
Firefox火狐浏览器:
火狐浏览器官方已经通过实验证实攻击者可以通过CPU漏洞读取到用户隐私信息,攻击者可以利用Firefox火狐浏览器的 precise timers 功能,所以,未来,Firefox官方将禁用 precise timers 功能,另外火狐最新增加的 SharedArrayBuffer 功能也将被禁用,同样,禁用这些功能之后,火狐浏览器的速度也会降低。
Google Chrome浏览器:
谷歌浏览器团队也发布了类似的通告,Chrome64版要在2018年2月发布,64版的谷歌浏览器也将禁用 SharedArrayBuffer 功能,并修改其性能API,由于Google Chrome浏览器团队一直重视浏览器的沙盒性能,谷歌浏览器沙盒内置一个名为 Site Isolation 的功能,该功能可以防御CPU漏洞威胁,我们可以使用命令「chrome://flags/#enable-site-per-process」手动开启该功能。
苹果Safari浏览器:
苹果官方还没有发布是否给Safari浏览器打补丁的信息,但是,苹果已经发表声明,将iOS系统或者Mac系统升级至最新版即可防御CPU漏洞,更多的修复补丁将在随后发布。
尽管各大浏览器厂商也都采取了积极措施,但更为重要的是CPU厂商能够提供补丁来修复这两个漏洞,包括Intel在内的各大CPU厂商已经发表声明会通过软件方式来修复该漏洞,待各大CPU厂商发布漏洞修复补丁之后,即便攻击者可以利用浏览器来获取隐私数据也难上加难了。
0条大神的评论