A UITA
Tehnologiile web mai noi, cum ar fi WebAssembly și Rust, contribuie la reducerea masivă a timpului necesar pentru anumite procese din partea clientului la finalizarea încărcării paginilor, dar dezvoltatorii lansează acum noi informații care ar putea duce la corecții pentru aceste platforme de aplicații în următoarele săptămâni .
Mai multe adăugiri și actualizări sunt planificate pentru WebAssembly, ceea ce ar putea face ipotetic unele dintre atenuările atacurilor Meltdown și Spectre inutile. Un raport întocmit de un cercetător de la Forcepoint a sugerat că modulele WebAssembly ar putea fi utilizate în scopuri nefaste și că anumite tipuri de atacuri de sincronizare ar putea fi de fapt înrăutățite din cauza rutinelor noi care sunt destinate să facă platforma mai accesibilă pentru programatori.
Atacurile de sincronizare sunt o subclasă de exploatări pe canale laterale care permit unei terțe părți să privească datele criptate, aflând cât durează executarea unui algoritm criptografic. Meltdown, Spectre și alte vulnerabilități legate de CPU sunt toate exemple de atacuri de sincronizare.
Raportul sugerează că WebAssembly ar face aceste calcule mult mai ușoare. A fost deja folosit ca vector de atac pentru instalarea de software de extragere a criptomonedelor fără permisiune, iar acesta ar putea fi, de asemenea, un domeniu în care vor fi necesare noi patch-uri pentru a preveni abuzuri suplimentare. Acest lucru ar putea însemna că patch-urile pentru aceste actualizări trebuie să apară după ce sunt lansate pentru majoritatea utilizatorilor.
Mozilla a încercat să atenueze problema atacurilor de sincronizare într-o oarecare măsură prin refuzarea preciziei unor contoare de performanță, dar noile adăugări la WebAssembly ar putea să nu mai facă acest lucru, deoarece aceste actualizări ar putea permite executarea codului opac pe computerul unui utilizator. Acest cod ar putea fi scris teoretic într-un limbaj de nivel superior înainte de a fi recompilat în formatul bytecode WASM.
Echipa care dezvoltă Rust, o tehnologie pe care Mozilla a promovat-o, a introdus un proces de divulgare în cinci pași, precum și confirmări de e-mail 24 de ore pentru toate rapoartele de erori. În timp ce echipa lor de securitate pare a fi destul de mică în acest moment, acest lucru este mai mult decât probabil oarecum similar cu abordarea pe care o vor lua multe consorții mai noi de platforme de aplicații atunci când se ocupă de acest tip de probleme.
Utilizatorii finali sunt rugați, ca întotdeauna, să instaleze actualizări relevante pentru a reduce riscul general de dezvoltare a vulnerabilităților legate de exploatările bazate pe CPU.
Etichete securitate web
