UNUTMAK
WebAssembly ve Rust gibi daha yeni web teknolojileri, sayfaları yüklerken bazı istemci tarafı işlemlerin tamamlanması için gereken süreyi büyük ölçüde azaltmaya yardımcı oluyor, ancak geliştiriciler artık önümüzdeki haftalarda bu uygulama platformları için yamalara yol açabilecek yeni bilgiler yayınlıyorlar. .
WebAssembly için, bazı Meltdown ve Spectre saldırılarının azaltılmasının bazılarını varsayımsal olarak işe yaramaz hale getirebilecek birkaç ekleme ve güncelleme planlanmıştır. Forcepoint'ten bir araştırmacı tarafından yayınlanan bir rapor, WebAssembly modüllerinin kötü amaçlar için kullanılabileceğini ve platformu kodlayıcılar için daha erişilebilir hale getirmeyi amaçlayan yeni rutinler nedeniyle belirli tür zamanlama saldırılarının aslında daha da kötüleştirilebileceğini ima etti.
Zamanlama saldırıları, bir üçüncü taraf gözlemcinin kriptografik bir algoritmanın çalıştırılmasının ne kadar sürdüğünü belirleyerek şifrelenmiş verilere göz atmasına olanak tanıyan bir yan kanal istismarları alt sınıfıdır. Meltdown, Spectre ve diğer ilgili CPU tabanlı güvenlik açıklarının tümü zamanlama saldırılarına örnektir.
Rapor, WebAssembly’ın bu hesaplamaları çok daha kolay hale getireceğini gösteriyor. Kripto para madenciliği yazılımının izinsiz yüklenmesi için zaten bir saldırı vektörü olarak kullanılmıştır ve bu, daha fazla kötüye kullanımı önlemek için yeni yamaların gerekli olacağı bir alan da olabilir. Bu, bu güncellemelerin yamalarının, kullanıcıların çoğunluğuna yayınlandıktan sonra çıkması gerekebileceği anlamına gelebilir.
Mozilla, bazı performans sayaçlarının hassasiyetini azaltarak saldırıları zamanlama sorununu bir dereceye kadar azaltmaya çalıştı, ancak WebAssembly'a yapılan yeni eklemeler, bu güncellemeler opak kodun bir kullanıcının makinesinde yürütülmesine izin verebileceğinden bunu artık etkili hale getirmeyebilir. Bu kod, WASM bayt kodu formatına yeniden derlenmeden önce teorik olarak daha yüksek seviyeli bir dilde yazılabilir.
Mozilla'nın kendi tanıtımını yaptığı bir teknoloji olan Rust'u geliştiren ekip, tüm hata raporları için 24 saatlik e-posta onaylarının yanı sıra beş aşamalı bir açıklama süreci başlattı. Güvenlik ekipleri şu anda oldukça küçük görünse de, bu, pek çok yeni uygulama platformu konsorsiyumunun bu tür sorunlarla uğraşırken benimseyeceği yaklaşıma büyük olasılıkla benziyor.
Son kullanıcılara, her zaman olduğu gibi, CPU tabanlı istismarlarla ilgili güvenlik açıkları geliştirme genel riskini azaltmak için ilgili güncellemeleri yüklemeleri önerilir.
Etiketler web güvenliği
