VERGETEN
Nieuwere webtechnologieën zoals WebAssembly en Rust helpen om de hoeveelheid tijd die het kost om sommige client-side processen te voltooien bij het laden van pagina's enorm te verminderen, maar ontwikkelaars geven nu nieuwe informatie vrij die zou kunnen leiden tot patches voor deze applicatieplatforms in de komende weken .
Er zijn verschillende toevoegingen en updates gepland voor WebAssembly, die hypothetisch een aantal van de Meltdown- en Spectre-aanvalsbeperkingen onbruikbaar zouden kunnen maken. Een rapport van een onderzoeker van Forcepoint insinueerde dat WebAssembly-modules kunnen worden gebruikt voor snode doeleinden en dat bepaalde soorten timingaanvallen zelfs kunnen worden verergerd door nieuwe routines die bedoeld zijn om het platform toegankelijker te maken voor programmeurs.
Timing-aanvallen zijn een subklasse van side-channel exploits waarmee een derde partij kan kijken naar versleutelde gegevens door uit te zoeken hoe lang het duurt om een cryptografisch algoritme uit te voeren. Meltdown, Spectre en andere gerelateerde CPU-gebaseerde kwetsbaarheden zijn allemaal voorbeelden van timingaanvallen.
Het rapport suggereert dat WebAssembly deze berekeningen zo veel gemakkelijker zou maken. Het is al gebruikt als een aanvalsvector voor het installeren van cryptocurrency-mining-software zonder toestemming, en dit kan ook een gebied zijn waar nieuwe patches nodig zijn om verder misbruik te voorkomen. Dit kan betekenen dat patches voor deze updates mogelijk moeten worden uitgebracht nadat ze voor de meeste gebruikers zijn vrijgegeven.
Mozilla heeft geprobeerd het probleem van timingaanvallen tot op zekere hoogte te verminderen door de precisie van sommige prestatiemeteritems te verlagen, maar nieuwe toevoegingen aan WebAssembly kunnen ervoor zorgen dat dit niet langer effectief is, aangezien deze updates ervoor kunnen zorgen dat ondoorzichtige code wordt uitgevoerd op de computer van een gebruiker. Deze code kan in theorie eerst in een taal van een hoger niveau worden geschreven voordat deze opnieuw wordt gecompileerd naar het WASM-bytecode-formaat.
Het team dat Rust ontwikkelt, een technologie die Mozilla zelf heeft gepromoot, heeft een openbaarmakingsproces in vijf stappen geïntroduceerd, evenals 24-uurs e-mailbevestigingen voor alle bugrapporten. Hoewel hun beveiligingsteam op dit moment vrij klein lijkt, lijkt dit meer dan waarschijnlijk enigszins op de benadering die veel nieuwere consortia van applicatieplatforms zullen volgen bij het omgaan met dit soort problemen.
Eindgebruikers worden, zoals altijd, aangespoord om relevante updates te installeren om het algehele risico op het ontwikkelen van kwetsbaarheden met betrekking tot CPU-gebaseerde exploits te verminderen.
Tags webbeveiliging
