ЗАБЫТЬ
Новые веб-технологии, такие как WebAssembly и Rust, помогают значительно сократить время, необходимое для завершения некоторых клиентских процессов при загрузке страниц, но сейчас разработчики выпускают новую информацию, которая может привести к исправлениям для этих платформ приложений в ближайшие недели. .
Для WebAssembly запланировано несколько дополнений и обновлений, которые гипотетически могут сделать бесполезными некоторые средства защиты от атак Meltdown и Spectre. В отчете, подготовленном исследователем из Forcepoint, говорится, что модули WebAssembly могут использоваться для гнусных целей, а некоторые типы временных атак могут быть еще хуже из-за новых процедур, которые призваны сделать платформу более доступной для кодеров.
Атаки по времени - это подкласс эксплойтов побочного канала, которые позволяют стороннему наблюдателю заглянуть в зашифрованные данные, выясняя, сколько времени требуется для выполнения криптографического алгоритма. Meltdown, Spectre и другие связанные с ними уязвимости ЦП - все это примеры временных атак.
В отчете говорится, что WebAssembly значительно упростит эти вычисления. Он уже используется в качестве вектора атаки для установки программного обеспечения для майнинга криптовалют без разрешения, и это также может быть областью, где потребуются новые исправления для предотвращения дальнейшего злоупотребления. Это может означать, что исправления для этих обновлений, возможно, придется выпустить после того, как они будут выпущены для большинства пользователей.
Mozilla попыталась до некоторой степени смягчить проблему временных атак, снизив точность некоторых счетчиков производительности, но новые дополнения к WebAssembly могут сделать это более неэффективным, поскольку эти обновления могут позволить непрозрачному коду выполняться на машине пользователя. Этот код теоретически можно сначала написать на языке более высокого уровня, прежде чем он будет перекомпилирован в формат байт-кода WASM.
Команда, разрабатывающая Rust, технологию, продвигаемую самой Mozilla, ввела пятиступенчатый процесс раскрытия информации, а также круглосуточное уведомление по электронной почте для всех отчетов об ошибках. Хотя их группа безопасности на данный момент кажется довольно маленькой, это, скорее всего, несколько похоже на подход, который используют многие консорциумы новых платформ приложений при решении подобных проблем.
Конечным пользователям, как всегда, настоятельно рекомендуется установить соответствующие обновления, чтобы снизить общий риск развития уязвимостей, связанных с эксплойтами на базе ЦП.
Теги веб-безопасность
![[FIX] Код ошибки «STATUS_WAIT_2» восстановления системы](https://jf-balio.pt/img/how-tos/08/system-restore-status_wait_2-error-code.png)
