ZABUDNITE
Novšie webové technológie, ako sú WebAssembly a Rust, pomáhajú masívne skracovať čas potrebný na dokončenie niektorých procesov na strane klienta pri načítaní stránok, vývojári však teraz v nasledujúcich týždňoch vydávajú nové informácie, ktoré by mohli viesť k opravám týchto aplikačných platforiem. .
Pre WebAssembly je naplánovaných niekoľko doplnkov a aktualizácií, ktoré by mohli hypoteticky spôsobiť, že niektoré z zmierňovacích opatrení Meltdown a Spectre budú zbytočné. Správa zverejnená výskumníkom z Forcepoint naznačila, že moduly WebAssembly by sa dali použiť na hanebné účely a niektoré typy časovacích útokov by sa mohli skutočne zhoršiť kvôli novým rutinám, ktoré majú sprístupniť platformu pre kódovačov.
Načasovacie útoky sú podtriedou exploitov postranných kanálov, ktoré umožňujú pozorovaniu tretích strán nahliadať do šifrovaných údajov zisťovaním, ako dlho trvá spustenie kryptografického algoritmu. Meltdown, Spectre a ďalšie súvisiace chyby zabezpečenia založené na CPU sú príkladmi časovacích útokov.
Správa naznačuje, že program WebAssembly by tieto výpočty výrazne uľahčil. Už sa použil ako útočný vektor na inštaláciu softvéru na ťažbu kryptomeny bez povolenia. Môže to byť tiež oblasť, kde budú potrebné nové opravy, aby sa zabránilo ďalšiemu zneužitiu. To by mohlo znamenať, že opravy týchto aktualizácií bude možno potrebné vydať po ich vydaní pre väčšinu používateľov.
Mozilla sa pokúsila do istej miery zmierniť problém s načasovaním útokov znížením presnosti niektorých počítadiel výkonu, ale vďaka novým prírastkom do WebAssembly by to už nemohlo byť účinné, pretože tieto aktualizácie by mohli umožniť spustenie nepriehľadného kódu na počítači používateľa. Tento kód by sa teoreticky mohol najskôr napísať v jazyku vyššej úrovne, kým sa prekompiluje do formátu bytecode WASM.
Tím, ktorý vyvíja Rust, technológiu, ktorú sama Mozilla propagovala, zaviedol proces odhalenia v piatich krokoch a 24-hodinové e-mailové potvrdenie pre všetky hlásenia chýb. Aj keď sa ich bezpečnostný tím v súčasnosti javí ako dosť malý, je viac než pravdepodobné, že sa trochu podobajú prístupu, ktorý pri riešení týchto druhov problémov zaujme veľa konzorcií novších aplikačných platforiem.
Od koncových používateľov sa ako vždy vyžaduje, aby si nainštalovali príslušné aktualizácie, aby sa znížilo celkové riziko vzniku zraniteľností v súvislosti so zneužitím CPU.
Značky webová bezpečnosť
