LUPA
Teknologi web yang lebih baru seperti WebAssembly dan Rust membantu mengurangkan jumlah masa yang diperlukan untuk menyelesaikan beberapa proses sisi pelanggan ketika memuat halaman, tetapi pembangun kini mengeluarkan maklumat baru yang dapat menyebabkan tambalan untuk platform aplikasi ini dalam beberapa minggu mendatang .
Beberapa penambahan dan kemas kini dirancang untuk WebAssembly, yang secara hipotetis menjadikan beberapa mitigasi serangan Meltdown dan Spectre tidak berguna. Sebuah laporan yang dikeluarkan oleh seorang penyelidik dari Forcepoint menyindir bahawa modul WebAssembly dapat digunakan untuk tujuan jahat dan beberapa jenis serangan waktu mungkin sebenarnya menjadi lebih buruk kerana rutinitas baru yang bertujuan untuk menjadikan platform lebih mudah diakses oleh pengkod.
Serangan masa adalah subkelas eksploitasi saluran sampingan yang memungkinkan pihak ketiga mengamati mengintip data yang dienkripsi dengan mengetahui berapa lama masa yang diperlukan untuk menjalankan algoritma kriptografi. Meltdown, Spectre dan kerentanan berasaskan CPU lain yang berkaitan adalah semua contoh serangan masa.
Laporan menunjukkan bahawa WebAss Assembly akan membuat pengiraan ini lebih mudah. Ini telah digunakan sebagai vektor serangan untuk memasang perisian perlombongan cryptocurrency tanpa izin, dan ini mungkin juga merupakan kawasan di mana patch baru akan diperlukan untuk mencegah penyalahgunaan lebih lanjut. Ini dapat berarti bahawa patch untuk kemas kini ini mungkin harus dikeluarkan setelah mereka diluncurkan kepada sebagian besar pengguna.
Mozilla telah berusaha untuk mengurangkan masalah serangan masa ke tahap tertentu dengan menolak ketepatan beberapa kaunter prestasi, tetapi penambahan baru untuk WebAssembly dapat menjadikannya tidak lagi berkesan kerana kemas kini ini dapat membenarkan kod legap dijalankan pada mesin pengguna. Kod ini secara teorinya boleh ditulis dalam bahasa tahap tinggi terlebih dahulu sebelum dikompilasi semula ke format bytecode WASM.
Pasukan yang mengembangkan Rust, sebuah teknologi yang dipromosikan oleh Mozilla sendiri, telah memperkenalkan proses pendedahan lima langkah serta pengakuan e-mel 24 jam untuk semua laporan bug. Walaupun pasukan keselamatan mereka kelihatan agak kecil pada masa ini, ini lebih kurang sama dengan pendekatan yang akan diambil oleh banyak konsortia platform aplikasi yang lebih baru ketika berhadapan dengan masalah seperti ini.
Pengguna akhir diminta, seperti biasa, untuk memasang kemas kini yang relevan untuk mengurangkan risiko keseluruhan kerentanan yang berkaitan dengan eksploitasi berdasarkan CPU.
Teg keselamatan web
