WebAssembly 新标准可能导致幽灵熔断修复程序无效

内容简介：据 Forcepoint 的安全研究员 John Bergbom 称，即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly（WA 或 WASM）目前支持所有主流浏览器，如 Chrome，...

据 Forcepoint 的安全研究员 John Bergbom 称，即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly（WA 或 WASM）目前支持所有主流浏览器，如 Chrome，Edge，Firefox 和 Safari。

该技术是一种二进制语言，浏览器将转换成机器码并直接在 CPU 上运行。浏览器制造商创建 WebAssembly 以提高 JavaScript 代码的交付速度和性能，他们还为开发人员创建了一种移植方法，可将来自其他高级语言（ 如C，C++ 和其他）的代码移植到 WASM ，然后在浏览器中运行它。

总而言之，WebAssembly 标准在网络开发社区中被视为成功的标准，并且一直在为其提供赞誉。

但是像所有的技术一样，它也带来了一些无法预料的小麻烦和滥用案例。 对于初学者来说，浏览器内的加密货币矿工（cryptojacking 脚本）的兴起可以追溯到主要浏览器中添加 WebAssembly，因为所有浏览器中的矿工都运行在 WebAssembly 之上，而不是纯粹的 JavaScript。

现在，Bergbom 认为，WebAssembly 还会给 Web 用户带来另一个小麻烦：

一旦 WA 获得对共享内存线程的支持（这已经在 WA 路线图上），可以创建非常准确的[JavaScript]定时器，这可能会导致浏览器缓解某些 CPU 端通道攻击失效。

在这份声明中，Bergbom 更准确地提到了“定时攻击”，这是一类旁路攻击。定时攻击是一类密码攻击，第三方观察者可以通过记录和分析执行加密算法所花费的时间来推断加密数据的内容。

最近披露的 Meltdown 和 Spectre CPU 漏洞以及它们的许多变化都是其核心的定时攻击。他们依赖攻击者测量精确时间间隔的能力，这是执行侧向通道攻击所需的参数，并从加密的数据块中恢复足够的信息以确定其余部分。 

编译自：BleepingComputer

【声明】文章转载自：开源中国社区 [http://www.oschina.net]

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• Linux Kernel 4.15 正式发布，修补幽灵熔断漏洞
• 新版 OpenSSH 补丁可避免幽灵、熔断、及Rowhammer等边信道攻击
• 【安全帮】Intel迟迟未修复熔断/幽灵漏洞，麻省理工给出新方案
• Paxos与“幽灵复现”
• 剪贴板幽灵：币圈的神偷圣手
• 幽灵病毒肆虐矿场 矿工每小时损失2000元

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。