Spectre pode ser explorado via código JavaScript em navegadores

Spectre pode ser explorado via código JavaScript
Publicado por Alexandre

Em 4 de janeiro de 2018 foi anunciado o Spectre – um exploit que utiliza falhas na arquitetura de processadores Intel, AMD e ARM para ter acesso à áreas de memória protegidas da CPU. O ataque permite que programas leiam áreas de memória destinadas a outros programas e com isso obtenham dados que não deveriam, como senhas, mensagens, imagens, entre outros.

Acontece que uma equipe do Microsoft Vulnerability Research descobriu que o Spectre pode ser utilizado via código JavaScript. Com isso, sites mal-intencionados podem ler dados de outros sites e até dados do próprio navegador. Isso inclui gerenciadores de senhas que equipam a maioria dos navegadores modernos.

Segundo a Mozilla, essa nova classe de ataques consiste em medir intervalos de tempo precisos do navegador. Então, como uma medida paliativa, decidiu reduzir a precisão de várias fontes de tempo do Firefox. Com isso fica muito mais difícil executar um ataque Spectre no Firefox.

Firefox Quantum

Novo Firefox Quantum

Correção ainda não definitiva

Ainda segunda a organização, as fontes que foram desativadas são importantes para a plataforma web e por isso estudam formas de correção do problema no longo prazo. A maioria das medidas adotadas já fazem parte da versão 57.0.4 do Firefox, Beta e Developers Edition do Firefox 58.0b14 e Nightly 59.0a1.

Quem é usuário do Firefox 52 ESR pode ficar mais sossegado porque a versão de longa duração não suporta SharedArrayBuffer, recurso que pode ser utilizado para a construção de temporizadores por aplicações maliciosas. E a redução da precisão das fontes serão incluídas na atualização regular do programa, previsto para 23 de janeiro de 2018.

Bloquear completamente o JavaScript

Os usuários, não só do Firefox, podem bloquear completamente o uso de JavaScript no navegador. Isso resolveria o problema da vulnerabilidade, mas causaria outros, já que a maior parte dos websites utilizam ativamente programas em JavaScript. Bloquear o JavaScript quebraria o visual e a funcionalidade de grande parte dos sites e não parece uma boa alternativa.

O que o usuário pode fazer para se proteger do Spectre

Medidas de segurança conhecidas por todos – como não acessar sites duvidosos, sites de pirataria e download grátis, não seguir links provenientes de spam – devem ser seguidas à risca. Manter o sistema operacional e o navegador atualizado é crucial.