WebAssembly新标准可能导致幽灵熔断修复程序无效

2018-06-27 17:34 标签: 幽灵熔断修复程序,网络安全

  据Forcepoint的安全研究员John Bergbom称,即将增加的WebAssembly标准可能会使浏览器级别的一些针对Meltdown和Specter的修复程序无用。WebAssembly(WA或WASM)目前支持所有主流浏览器,如Chrome,Edge,Firefox和Safari。

  该技术是一种二进制语言,浏览器将转换成机器码并直接在CPU上运行。浏览器制造商创建WebAssembly以提高JavaScript代码的交付速度和性能,他们还为开发人员创建了一种移植方法,可将来自其他高级语言(如C,C++和其他)的代码移植到WASM,然后在浏览器中运行它。

  总而言之,WebAssembly标准在网络开发社区中被视为成功的标准,并且一直在为其提供赞誉。

  但是像所有的技术一样,它也带来了一些无法预料的小麻烦和滥用案例。对于初学者来说,浏览器内的加密货币矿工(cryptojacking脚本)的兴起可以追溯到主要浏览器中添加WebAssembly,因为所有浏览器中的矿工都运行在WebAssembly之上,而不是纯粹的JavaScript。

  现在,Bergbom认为,WebAssembly还会给Web用户带来另一个小麻烦:

  一旦WA获得对共享内存线程的支持(这已经在WA路线图上),可以创建非常准确的[JavaScript]定时器,这可能会导致浏览器缓解某些CPU端通道攻击失效。

  在这份声明中,Bergbom更准确地提到了定时攻击,这是一类旁路攻击。定时攻击是一类密码攻击,第三方观察者可以通过记录和分析执行加密算法所花费的时间来推断加密数据的内容。

  最近披露的Meltdown和SpectreCPU漏洞以及它们的许多变化都是其核心的定时攻击。他们依赖攻击者测量精确时间间隔的能力,这是执行侧向通道攻击所需的参数,并从加密的数据块中恢复足够的信息以确定其余部分。

  稿源:开源中国,封面源自网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us