Tvůrci internetových prohlížečů reagují na Meltdown a Spectre

Zatímco většina zásadních záplat na rizika sjednocená pod názvy Meltdown a Spectre vzešla od samotných výrobců čipů, potažmo tvůrců operačních systémů, ruku k dílu přidali také tvůrci internetových prohlížečů. Mimo jiné i proto, že Spectre může být zneužita prostřednictvím JavaScript útoků skrytých ve škodlivých internetových stránkách.

Google aktualizoval Chrome pro Windows, macOS a Linux zhruba před měsícem, přičemž v nové verzi poprvé představil novou bezpečnostní technologii nazvanou Site Isolation (Izolace stránek). S vyjevením hrozby Meltdown a Spectre pak uživatele vyzval, aby si ji pro lepší ochranu zapnuli, defaultně je totiž vypnutá.

Izolace má blokovat vzdálené kódy, které se skrz manipulaci obsahem v jednotlivých záložkách spouštějí v chromovském sandboxu, a znemožnit tak Spectre zmocnit se dat přístupných v paměti skrz neaktivní záložku. Další prevenci proti Spectre plánuje Google přidat do Chromu 64, který se má objevit koncem ledna. Počítat můžeme mimo jiné s úpravou JavaScript enginu V8.

Microsoft vydal v uplynulém týdnu aktualizace jak pro Internet Explorer a Edge, tak patche pro Windows 7 a Windows 8.1. Jeho opatření jsou přitom obdobná jako ta ostatních vývojářů, a je zjevné, že své kroky všichni společně koordinovali.

„Pro začátek stahujeme podporu pro SharedArrayBuffer z Edge a snižujeme výkon performance.now v Edge a Exploreru,“ uvedl John Hazen, vrchní programový manažer Edge týmu. „Tyto dvě změny podstatně ztěžují kompromitování CPU cache skrz procesy prohlížeče.“ Dodejme, že podobné kroky učinil i Google v Chromu a také Mozilla v nejnovější verzi Firefoxu, která vyšla minulý týden s kódovým označením 57.0.4.

A konečně Apple: společnost sice v prosinci uvedla, že aktualizace macOS a iOS zahrnují opatření proti Meltdownu, rizika spjatá se Spectre, by měly minimalizovat aktualizace prohlížeče Safari vycházející v nejbližších dnech. Jejich podobu Apple nekonkretizoval, dá se však očekávat, že i v tomto případě se bude jednat o zásahy do SharedArrayBufferu a performance.now.