MozillaがIntel CPUのMDS脆弱性対策を行った「Firefox for Mac v67」をリリースしています。詳細は以下から。
Mozillaは現地時間2019年05月21日、05月14日にコメントしたとおり、Intelおよびグラーツ工科大学の研究チームが発見したIntel CPUの投機的実行に関する脆弱性「Microarchitectural Data Sampling (MDS)」への緩和策を講じたWebブラウザ「Firefox for Mac v67」を公開したと発表しています。
CVE-2019-9815: Disable hyperthreading on content JavaScript threads on macOS
If hyperthreading is not disabled, a timing attack vulnerability exists, similar to previous Spectre attacks. Apple has shipped macOS 10.14.5 with an option to disable hyperthreading in applications running untrusted code in a thread through a new sysctl. Firefox now makes use of it on the main thread and any worker threads.Security vulnerabilities fixed in Firefox 67 — Mozilla
リリースノートによると、Intel CPUのHyper-Threadingテクノロジーが無効化されていない場合、Spectreのようなタイミング攻撃(サイドチャネル攻撃)により情報が漏洩してしまう可能性があるため、AppleはmacOS 10.14.5 Mojaveで信頼できないコードをスレッド内で実行するさいにHTテクノロジーを無効にする新しい「sysctl」を導入しており、Firefoxも今回のアップデートでメインと全てのワーカースレッドで新しいsysctlを利用するように仕様を変更したそうです。
これによりmacOS 10.14.5 Mojaveおよびセキュリティアップデート 2019-003を適用したHigh SierraとSierraでは、SafariとFirefoxでMDS脆弱性に対する緩和策が行われたことになり、Googleも06月04日リリースのChrome v75で対策を行うそうなので、ユーザーの方は時間を見つけてアップデートすることをお勧めします。
コメント