Mozilla 确认近日全平台中招的 Meltdown(熔断)和 Spectre(幽灵)两个漏洞能够用于提取用户上网的登陆信息。尽管这种情况的发生概率极小,但已经证明确实存在这种安全隐患。
Mozilla 通过多个 JavaScript 脚本文件确认了这种攻击方式的可行性,假如网页创建者怀揣恶意目的,能够提取任意访客的相关信息。不过这种情况概率极小,首先是软件和固件始终处于未更新状态,而且硬件是过去 20 年生产的。
Mozilla 软件工程师 Luke Wagner 在博文中确认:“近期公布的数篇科研文章已经证实了在近代 CPU 上存在新型攻击方式(熔断和幽灵)。我们的内部测试发现,能够相似的技术能够从网页内容中读取隐私信息。”所幸的是,近年来下载的 Firefox 在默认情况下都会进行自动更新。
Mozilla Firefox 57.0.4 发布,修复英特尔 CPU 漏洞带来的问题
Mozilla 已经在服务器上放出了 Firefox 57.0.2 正式版的下载链接。Firefox 57 最值得关注的改变在于,通过重大升级的用户界面和下一代浏览器引擎 Quantum 的配合,带来更美观、更舒适、更流畅的使用体验。57.0.4 修正版本修复了著名的两个英特尔 CPU 漏洞带来的安全性问题,推荐所有 57 版本用户及时升级。
Security fixes to address the Meltdown and Spectre timing attacks
Reference link to 57. 0.3 release notes
下载地址:
https://download-installer.cdn.mozilla.net/pub/firefox/releases/57.0.4/
相关文章
