WebAssembly 新標準可能導致幽靈熔斷修復程序無效

據 Forcepoint 的安全研究員 John Bergbom 稱，即將增加的 WebAssembly 標準可能會使瀏覽器級別的一些針對 Meltdown 和 Specter 的修復程序無用。 WebAssembly（WA 或 WASM）目前支持所有主流瀏覽器，如 Chrome，Edge，Firefox 和 Safari。

該技術是一種二進位語言，瀏覽器將轉換成機器碼並直接在 CPU 上運行。瀏覽器製造商創建 WebAssembly 以提高 JavaScript 代碼的交付速度和性能，他們還為開發人員創建了一種移植方法，可將來自其他高級語言（ 如C，C++ 和其他）的代碼移植到 WASM ，然後在瀏覽器中運行它。

總而言之，WebAssembly 標準在網路開發社區中被視為成功的標準，並且一直在為其提供讚譽。

但是像所有的技術一樣，它也帶來了一些無法預料的小麻煩和濫用案例。 對於初學者來說，瀏覽器內的加密貨幣礦工（cryptojacking 腳本）的興起可以追溯到主要瀏覽器中添加 WebAssembly，因為所有瀏覽器中的礦工都運行在 WebAssembly 之上，而不是純粹的 JavaScript。

現在，Bergbom 認為，WebAssembly 還會給 Web 用戶帶來另一個小麻煩：

一旦 WA 獲得對共享內存線程的支持（這已經在 WA 路線圖上），可以創建非常準確的[JavaScript]定時器，這可能會導致瀏覽器緩解某些 CPU 端通道攻擊失效。

在這份聲明中，Bergbom 更準確地提到了「定時攻擊」，這是一類旁路攻擊。定時攻擊是一類密碼攻擊，第三方觀察者可以通過記錄和分析執行加密演算法所花費的時間來推斷加密數據的內容。

最近披露的 Meltdown 和 Spectre CPU 漏洞以及它們的許多變化都是其核心的定時攻擊。他們依賴攻擊者測量精確時間間隔的能力，這是執行側向通道攻擊所需的參數，並從加密的數據塊中恢復足夠的信息以確定其餘部分。

編譯自：BleepingComputer

OSC開源社區頭條號，每日推送最新優質的技術類文章，包括外文翻譯，軟體更新，技術博客等。歡迎關注osc開源社區頭條號，每日獲取優質推送。點擊「了解更多」，獲取WebAssembly 的詳細介紹與下載資源。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！