Firefox 57.0.4 mit Spectre-Patch verfügbar

MozillaDie Mozilla-Entwickler haben den Firefox 57.0.4 veröffentlicht. Diese Version adressiert die Spectre-Sicherheitslücke und soll Angriffe erschweren.


Anzeige

Die Info kam die Nacht ja bereits in den Kommentaren hier im Blog (danke dafür). Ich habe die portable Version des Firefox hier zum Test gestartet und bin über das Menü auf Hilfe und dann auf Über Firefox gegangen. Schon wurde das Update angeboten.

Der Browser hat sich hier problemlos auf die neue Version aktualisiert.

Warum die Aktualisierung?

Seit dem Jahreswechsel wurden zwei mit den Namen Meltdown und Spectre belegte Sicherheitslücken bekannt, die auf fast allen Betriebssystemen und Prozessoren nutzbar sind.

  • Spectre (Variante 1 und 2): Diese durchbricht die Isolation zwischen verschiedenen Anwendungen. Es ermöglicht es einem Angreifer, fehlerfreie Programme, die Best Practices befolgen, zu täuschen, damit sie ihre Daten preisgeben. Tatsächlich erhöhen die Sicherheitsüberprüfungen im Rahmen der Best Practices sogar die Angriffsfläche und können Anwendungen anfälliger für Spectre machen.
  • Meltdown (Variante 3): Diese durchbricht die grundlegende Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme und des Betriebssystems zuzugreifen.

Ein paar Informationen sind in den am Artikelende verlinkten Blog-Beiträgen zu finden. Die Spectre-Attacke kann auch per Browser genutzt werden. Mozilla hat am 3.1.2018 diesen Blog-Beitrag veröffentlicht, in dem die Möglichkeit beschrieben ist, eine Browserfunktion (SharedArrayBuffer) für das Abgreifen von Informationen zu verwenden.

Im Changelog wird die Speculative execution side-channel attack (“Spectre”) als Problem, welches mit dem Update angegangen wurde, angesprochen. Es wurde die SharedArrayBuffer-Funktion deaktiviert. Zudem wurde die Genauigkeit, mit der Zeitabfragen über performance.now() möglich sind, von 5 auf 20 Mikrosekunden erhöht. Dies soll Angriffsmöglichkeiten über Spectre verhindern.

Die ESR-Versionen von Firefox haben ab der Version 52 die SharedArrayBuffer-Funktion deaktiviert.

Was es noch zu wissen gilt

Die direkten Downloads hat ein bloggender Kollege auf http://it-blogger.net angegeben. Wer aktualisiert, sollte sich zudem die Kommentare hier zu testpilot-dot-firefox-dot-com  ansehen. Die Problematik war hier mit einem Add-On angesprochen worden.


Werbung

Ähnliche Artikel
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Windows 10: Patch fixt den Intel-Bug
Kritische Updates für Windows und Browser (3.1.2018)
Windows 10: Kritische Updates vom 3.1.2018
Kritische Sicherheitsupdates für Windows 7/8.1/Server (3.1.2018)
Weitere Updates (Internet Explorer, GDI) 3.1.2018
Meltdown und Spectre: Was Windows-Nutzer wissen müssen


Anzeige

Dieser Beitrag wurde unter Firefox, Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Kommentare zu Firefox 57.0.4 mit Spectre-Patch verfügbar

  1. deoroller sagt:

    In Firefox ESR 52 ist der SharedArrayBuffer-Standard standardmäßig deaktiviert.
    https://www.soeren-hentzschel.at/firefox/firefox-57-0-4-mozilla-reagiert-auf-cpu-schwachstellen-meltdown-und-spectre/

  2. Frank B. sagt:

    @deoroller

    Wie kann das?

    Wussten die Mozilla Firefox vorher Bescheid? Und wieso?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.