Os métodos de ataque Meltdown e Spectre exploram uma falha de projeto na previsão de ramificação, em que uma CPU faz uma estimativa sobre o que será computado ou processado em seguida, e permitem que aplicativos mal-intencionados contornem o isolamento da memória para acessar o conteúdo da memória. Embora o conteúdo não possa ser alterado ou destruído, ele pode ser lido, o que já é bastante ruim.
Exploração de prova de conceito baseada em JavaScript para Spectre
Logo após a divulgação das vulnerabilidades Spectre e Meltdown no mês passado, uma exploração de prova de conceito baseada em JavaScript para a Spectre apareceu na Internet. A empresa de segurança Fortinet examinou todas as amostras disponíveis publicamente no final de janeiro e descobriu que 83% dos das amostras eram todas baseadas em código de prova de conceito.
Isso significa que os criadores de malware ainda estão experimentando e tentando encontrar um exploit bom e funcional. E, como eles estão usando JavaScript, é provável que isso ocorra na forma de um ataque à Web, o que, de certa forma, é uma boa notícia. Os servidores não navegam na Web, mas os clientes sim. E a Microsoft e a Apple já emitiram correções para o Windows e o macOS. Portanto, se a maior parte das explorações for em JavaScript, espera-se que elas fiquem no lado do cliente, onde podem ser bloqueadas. O truque, então, é mantê-lo fora dos servidores. E isso pressupõe que os hackers se limitarão ao JavaScript.
