噩梦成真：Mozilla 证实存在利用 CPU 漏洞的web 执行向量

翻译：360代码卫士团队

Mozilla 官方证实称，可通过 web 内容如 JavaScript 文件利用最近发现的 CPU 缺陷 Meltdown 和 Spectre 提取访问网页用户的信息。

谷歌研究团队发现的这两个 CPU 漏洞几乎影响所有自1995年发布的 CPU，影响所有部署在台式电脑、笔记本电脑、服务器、智能手机、智能设备和云服务中的所有 CPU。

研究人员表示，攻击者不但能利用这两个缺陷从计算机的内核存储中读取数据 (Meltdown) ，还能读取由其它 app 处理的数据 (Spectre)。更确切地说，谷歌表示这两个漏洞可被用于“窃取计算机上正在处理的数据”，包括“存储在密码挂你器或浏览器中的密码、个人照片、邮件、即时消息甚至是关键的业务文档。”

谷歌之前发布的研究论文并未说明攻击发生的具体方法，但很多查看了论文的安全专家表示基于 web 的攻击是有可能发生的，而不仅仅是通过本地输入的恶意代码。

就在谷歌发布论文几个小时后，Mozilla 证实了所有人最担忧的情况：Meltdown 和 Spectre 可经由内嵌在由网页传输的普通 JavaScript 文件中的攻击代码遭利用。Mozilla 公司的一名软件工程师 Luke Wagner 表示，“我们的内部实验证实，可使用Web 内容中的类似技术读取不同源中的私人信息。”

早在去年，Mozilla 就获知了 Meltdown 和 Spectre 漏洞的具体详情。Wagner 表示发布在去年11月中旬的 Firefox 57已经含有一些应对措施。

Meltdown 和 Spectre 都是会泄露内存数据的旁路攻击。它们依靠的都是通过非常精确地测试时间来传输利用代码从而泄露内存数据。为阻止攻击的效果，Mozilla 表示已经降低了火狐内部定时功能的精确度。这并非是一个完整的缓解措施，只是一个有效且聪明的应变措施。

Mozilla 公司指出，“由于新型攻击涉及测量精确的时间间隔，因此作为局部的短期缓解措施，我们禁用或降低了火狐中多个时间来源的精确度。其中包括直接来源如 performance.now()，以及间接来源如高清定时器viz., SharedArrayBuffer。”

具体来讲，在所有的发布信道，从 Firefox 57版本开始：

• Performance.now() 的分辨率将降低到20µs。

• SharedArrayBuffer 功能默认禁用。

Mozilla 表示将会继续测试新的缓解措施，以便“删除近来源的信息泄露，而不仅仅是通过禁用定时器隐藏泄露。”

虽然 Mozilla 已经部署了修复方案，但 Chrome 还未推出。颇具讽刺意味的是，正是谷歌开发人员发现了这两个漏洞。

谷歌表示Chrome 将会在今年1月23日接收缓解措施。在此之前，谷歌建议用户启用 Chrome 63 中的一个新安全功能 “Strict Site Isolation”。

其它厂商如微软等也已发布补丁。建议用户立即更新至 Firefox 57以及届时发布的 Chrome 64。基于 web 的攻击危险系数最高，因为它们更容易执行。这类攻击能诱骗用户访问带有恶意 JavaScript 的网站、能通过广告网络马上向数以百万计的用户传播 JavaScript或者能够黑掉网站并在合法网站上执行路过式下载攻击，而用户对此毫不知情。

尽管如此，一些专家认为，Meltdown 和 Spectre 漏洞最可能用于针对具体目标的攻击中，而不是用于发动大规模的、无差别的攻击活动。

另外，Intel 承诺在下周末之前为近五年来发布的90%的 CPU 型号提供固件更新，并重申补丁并不会对电脑性能造成太大影响。

Intel 称所有CPU厂商均受漏洞影响 补丁对电脑性能的影响并没有传说中的严重

Meltdown 和 Spectre 漏洞的相关安全公告、补丁和更新清单

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接:

https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/