ZABORAVITI
Novije web tehnologije kao što su WebAssembly i Rust pomažu u masovnom smanjenju vremena potrebnog da se neki procesi na strani klijenta dovrše prilikom učitavanja stranica, ali programeri sada objavljuju nove informacije koje bi mogle dovesti do zakrpa za te aplikacijske platforme u sljedećim tjednima .
Nekoliko dodataka i ažuriranja planirano je za WebAssembly, što bi hipotetički moglo učiniti neke od ublažavanja napada Meltdownom i Spectrom beskorisnim. Izvještaj koji je objavio istraživač iz Forcepointa nagovijestio je da se moduli WebAssembly mogu koristiti u zlonamjerne svrhe, a određene vrste vremenskih napada mogu se zaista pogoršati zbog novih rutina kojima je cilj platforma učiniti pristupačnijom koderima.
Vremenski napadi podrazred su iskorištavanja bočnih kanala koji omogućuju promatranju treće strane da zaviri u šifrirane podatke utvrđujući koliko je vremena potrebno za izvršavanje kriptografskog algoritma. Meltdown, Spectre i druge srodne ranjivosti zasnovane na CPU-u su svi primjeri vremenskih napada.
Izvještaj sugerira da bi WebAssembly znatno olakšao ove izračune. Već se koristi kao vektor napada za instaliranje softvera za rudarenje kriptovaluta bez odobrenja, a ovo bi moglo biti i područje na kojem će biti potrebne nove zakrpe kako bi se spriječilo daljnje zlostavljanje. To može značiti da će zakrpe za ova ažuriranja možda morati izaći nakon što budu objavljene za većinu korisnika.
Mozilla je pokušala umanjiti problem vremenskih napada do neke mjere odbijanjem preciznosti nekih brojača performansi, ali novi dodaci WebAssembly-u to više ne bi mogli učiniti učinkovitima jer bi ova ažuriranja mogla omogućiti izvršavanje neprozirnog koda na korisničkom stroju. Ovaj bi se kôd teoretski mogao prvo napisati na jeziku više razine prije nego što se prekompajlira u format bajt-koda WASM.
Tim koji razvija Rust, tehnologiju koju je i sama Mozilla promovirala, uveo je postupak otkrivanja u pet koraka, kao i 24-satne potvrde e-poštom za sva izvješća o programskim pogreškama. Iako se čini da je njihov sigurnosni tim trenutno prilično malen, ovo je više nego vjerojatno donekle slično pristupu koji će zauzeti mnogi noviji konzorciji aplikacijskih platformi kada se bave ovakvim vrstama problema.
Kao i uvijek, krajnji se korisnici pozivaju da instaliraju relevantna ažuriranja kako bi smanjili sveukupni rizik od razvoja ranjivosti povezanih s exploitima temeljenim na CPU-u.
Oznake web sigurnost
