KALIMUTAN
Ang mga mas bagong teknolohiyang web tulad ng WebAss Assembly at Rust ay nakakatulong upang mabawasan ang dami ng oras na kinakailangan para sa ilang proseso ng panig ng kliyente upang makumpleto kapag naglo-load ng mga pahina, ngunit naglalabas ngayon ang mga developer ng bagong impormasyon na maaaring humantong sa mga patch para sa mga platform ng application sa mga darating na linggo .
Maraming mga karagdagan at pag-update ang pinlano para sa WebAss Assembly, na maaaring gawing walang saysay na gawing walang silbi ang ilan sa mga pagpapagaan ng pag-atake ng Meltdown at Spectre. Ang isang ulat na inilabas ng isang mananaliksik mula sa Forcepoint ay inilarawan na ang mga module ng WebAss Assembly ay maaaring magamit para sa hindi magagandang layunin at ang ilang mga uri ng pag-atake sa tiyempo ay maaaring maging mas malala dahil sa mga bagong gawain na inilaan upang gawing mas madaling ma-access ang platform para sa mga coder.
Ang pag-atake ng tiyempo ay isang subclass ng mga pagsasamantala sa gilid ng channel na nagpapahintulot sa isang third-party na obserbahan na masilip ang naka-encrypt na data sa pamamagitan ng pag-alam kung gaano katagal bago maipatupad ang isang cryptographic algorithm. Ang Meltdown, Spectre at iba pang nauugnay na mga kahinaan na nakabatay sa CPU ay pawang mga halimbawa ng pag-atake sa tiyempo.
Iminumungkahi ng ulat na gagawing mas madali ng WebAss Assembly ang mga kalkulasyong ito. Ginamit na ito bilang isang vector ng pag-atake para sa pag-install ng cryptocurrency mining software nang walang pahintulot, at maaaring ito rin ay isang lugar kung saan kinakailangan ng mga bagong patch upang maiwasan ang karagdagang pag-abuso. Maaaring mangahulugan ito na ang mga patch para sa mga pag-update na ito ay maaaring kailangang lumabas pagkatapos na mailabas sa isang karamihan ng mga gumagamit.
Sinubukan ni Mozilla na pagaanin ang problema ng pag-atake sa tiyempo sa ilang degree sa pamamagitan ng pagbawas sa katumpakan ng ilang mga counter ng pagganap, ngunit ang mga bagong karagdagan sa WebAss Assembly ay maaaring gawin itong hindi na epektibo dahil maaaring payagan ng mga pag-update na ito ang opaque code upang maipatupad sa makina ng isang gumagamit. Ang code na ito ay maaaring nakasulat sa isang mas mataas na antas na wika bago ito muling magkumpuni sa WASM bytecode format.
Ang koponan na bumuo ng Rust, isang teknolohiyang na-promosyon mismo ni Mozilla, ay nagpakilala ng isang limang hakbang na proseso ng pagsisiwalat pati na rin ang 24 na oras na pagkilala sa email para sa lahat ng mga ulat sa bug. Habang ang kanilang koponan sa seguridad ay lilitaw na medyo maliit sa ngayon, ito ay higit sa malamang na medyo kapareho ng diskarte na kukuha ng maraming mas bagong application platform consortia kapag nakikipag-usap sa mga ganitong uri ng isyu.
Ang mga end-user ay hinihimok, tulad ng lagi, na mag-install ng mga nauugnay na pag-update upang mabawasan ang pangkalahatang panganib na magkaroon ng mga kahinaan na nauugnay sa pagsasamantala batay sa CPU.
Mga tag seguridad sa web
