In seguito alla scoperta delle vulnerabilità Meltdown e Spectre da parte del team Project Zero di Google, chipmaker e software house hanno iniziato a distribuire aggiornamenti software per bloccare eventuali attacchi che sfruttano questi due bug. Mozilla ha rilasciato la versione 57.0.4 di Firefox per Windows, macOS, Linux e Android che riduce i rischi per gli utenti.
Le vulnerabilità sono presenti in tutti i processori (Intel, AMD e ARM) introdotti sul mercato negli ultimi 20 anni. Meltdown consente di leggere i dati nella memoria protetta, eludendo il meccanismo che isola applicazioni e sistema operativo. Spectre, invece, permette ad eventuali malware di accedere alla memoria di altre applicazioni. La versione 57.0.4 di Firefox risolve proprio quest’ultima vulnerabilità. Utilizzando un particolare tipo di attacco, denominato timing side-channel, un malintenzionato potrebbe rubare informazioni sensibili, come password, numeri delle carte di credito e chiavi crittografiche.
La tecnica sfrutta l’esecuzione speculativa dei moderni processori, grazie alla quale i dati vengono caricati in memoria in anticipo per incrementare le prestazioni. Si tratta quindi di un tipo di attacco basato su precisi intervalli di tempo, durante i quali è possibile leggere i dati. Mozilla ha quindi apportato alcune modifiche al suo motore JavaScript, in modo da ridurre la precisione di alcuni timer.
La soluzione non risolve completamente le vulnerabilità, per cui la software house continuerà a studiare il problema e sicuramente svilupperà patch più efficienti. L’aggiornamento dovrebbe essere scaricato e installato in maniera automatica. In caso contrario è sufficiente selezionare la voce “Informazioni su Firefox” nel menu Aiuto e cliccare su “Controlla aggiornamenti”.