sexta-feira, 5 de janeiro de 2018

Mozilla modificou Firefox para impedir exploração da falha Spectre

Fabricantes de software e hardware estão sabendo das falhas Spectre e Meltdown, corroem o isolamento entre programas executados em computadores e celulares, pelo menos desde junho de 2017. A Mozilla, desenvolvedora do navegador Firefox, confirmou que a falha pode ser explorada dentro de navegadores de internet para burlar o isolamento que impede um site de ler a memória de outro e modificou o Firefox em meados de novembro, quando a falha ainda não era de conhecimento público.


Em um ataque teórico, um site qualquer poderia ler o conteúdo de outra aba aberta do navegador. Se você tem o banco aberto, outro site que também estiver aberto poderia ler os dados que estão na página do banco, por exemplo. No pior dos casos, senhas e dados pessoais poderiam ficar expostos mesmo quando um site não foi aberto intencionalmente, porque um site malicioso poderia forçar o navegador a abrir a página.




O Firefox 57, lançado em meados de novembro, diminuiu a precisão das funções que calculam a passagem do tempo. Isso deve impedir a exploração da falha, pois ataque depende de um cálculo exato de tempo para determinar o valor da memória lida indevidamente (se você entendeu a falha pela analogia da coluna
Segurança Digital
, com caixas e lixo, a mudança da Mozilla "impede o cálculo do peso da lixeira").


A correção é considerada temporária até que novos mecanismos de proteção sejam desenvolvidos.


O Chrome, do Google, ainda não recebeu uma atualização. Programada para o da 23 de janeiro, a versão 64 também vai interferir na precisão dos cálculos de tempo e é considerada temporária. O Google já alertou que as modificações devem impactar o desempenho do navegador.


Uma solução mais definitiva no Chrome é o isolamento de site estrito ("Strict Site Isolation"). O recurso só pode ser acionado na tela de configurações experimentais (chrome://flags) e o Google alerta que o consumo de memória do navegador - já notoriamente alto - pode ficar até 20% maior. O Google diz que ainda está trabalhando para resolver essa e outras questões para viabilizar o uso dessa função de segurança.


Imagem: Fantasma da falha Spectre. Símbolo foi escolhido porque especialistas acreditam que a falha vai nos 'assombrar por muitos anos'. (Foto: Natascha Eibl/Domínio Público)

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
G1

Nenhum comentário:
Write comentários

Disqus Shortname

Hey, we've just launched a new custom color Blogger template. You'll like it - https://t.co/quGl87I2PZ
Join Our Newsletter