Mozilla hat am Freitagvormittag mit der Auslieferung von Firefox 57.0.4 begonnen. Mit der neuen Version wird die kürzlich bekannt gewordene Lücke in Intel- und ARM-basierten CPUs geschlossen. Microsoft hatte für Windows 10 und dessen Windows-Kernel bereits am Donnerstag ein Notfall-Updateausgeliefert.
Mit Firefox 57.0.4 wird die Spectre-Anfälligkeit der sogenannten „Speculative execution side-channel attack“ geschlossen, deren Gefährlichkeit mit „Hoch“ einschätzt. Der Design-Fehler der CPUs enthält die beiden Anfälligkeiten, die auf den Namen „Meltdown“ und „Spectre“ getauft wurden. In beiden Fällen werde eine Performance-Funktion moderner CPUs namens “speculative execution” ausgenutzt. Die Funktion beschleunige die Verarbeitung von Befehlen, indem die eingehenden Befehle nicht in der Reihenfolge ihres Eingangs abgearbeitet werden, sondern so angeordnet werden, dass sie besonders schnell abgearbeitet werden können. Die Techniken Meltdown und Spectre können dabei dafür verwendet werden, eigentlich abgesicherte Informationen im Kernel-Speicher auszulesen. Dazu können etwa Passwörter oder andere persönliche Informationen gehören.
Im Falle von Meltdown wird das Auslesen des Kernel-Speichers möglich und ist über CVE-2017-5754 dokumentiert- Diese Technik bietet das größte Potential an, von Angreifern verwendet zu werden. Spectre verwendet zwei unterschiedliche Techniken, die unter CVE-2017-5753 und CVE-2017-5715 dokumentiert sind. Auch hier könnte eine Anwendung Lesezugriff auf Informationen im geschützten Kernel-Speicher erhalten. Ausgenutzt wird eine Anfälligkeit, die dadurch entsteht, dass es zu einer zeitlichen Verzögerung kommt, wenn die CPU einen Speicher-Zugriffsbefehl validiert.
Sie erhalten Firefox 57.0.4 über die in Firefox integrierte Autoupdate-Funktion beim Neustart des Browsers. Alternativ können Sie die Version auch direkt bei Mozilla hier herunterladen.