据 Forcepoint 的安全研究员 John Bergbom 称，即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly（WA 或 WASM）目前支持所有主流浏览器，如 Chrome，Edge，Firefox 和 Safari。 该技术是一种二进制语言，浏览器将转换成机器码并直接在 CPU 上运行。浏览器制造商创建 WebAssembly 以提高 JavaScript 代码的交付速度和性能，他们还为开发人员创建了一种移植方法，可将来自其他高级语言（ 如C，C++ 和其他）的代码移植到 WASM ，然后在浏览器中运行它。 总而言之，WebAssembly 标准在网络开发社区中被视为成功的标准，并且一直在为其提供赞誉。 但是像所有的技术一样，它也带来了一些无法预料的小麻烦和滥用案例。 对于初学者来说，浏览器内的加密货币矿工（cryptojacking 脚本）的兴起可以追溯到主要浏览器中添加 WebAssembly，因为所有浏览器中的矿工都运行在 WebAssembly 之上，而不是纯粹的 JavaScript。 现在，Bergbom 认为，WebAssembly 还会给 Web 用户带来另一个小麻烦： 一旦 WA 获得对共享内存线程的支持（这已经在 WA 路线图上），可以创建非常准确的[JavaScript]定时器，这可能会导致浏览器缓解某些 CPU 端通道攻击失效。 在这份声明中，Bergbom 更准确地提到了“定时攻击”，这是一类旁路攻击。定时攻击是一类密码攻击，第三方观察者可以通过记录和分析执行加密算法所花费的时间来推断加密数据的内容。 最近披露的 Meltdown 和 Spectre CPU 漏洞以及它们的许多变化都是其核心的定时攻击。他们依赖攻击者测量精确时间间隔的能力，这是执行侧向通道攻击所需的参数，并从加密的数据块中恢复足够的信息以确定其余部分。   稿源：开源中国，封面源自网络；

微软已经修补了 Meltdown 和 Specter 硬件漏洞，虽然该公司表示将在未来几个月内推出更多缓解措施，但它也试图确保没有任何可利用的漏洞会针对其用户。因此，这家软件巨头正在推出一项奖励计划，为那些发现新 bug 并将其向微软公开的人提供巨额奖金。 例如，第 1  层部分包含新类别的推测性执行攻击，并且可以带来不低于 25 万美元的财务奖励，而那些符合第 2 层和第 3 层的资格奖励则涉及绕过 Azure 测性执行缓解和绕过  Windows 推测性执行缓解的攻击方式，分别可以赚取高达 20 万美元奖金。 最后研究人员在 Windows 10 或 Microsoft Edge 中披露一个已知的漏洞实例，披露信任边界上的敏感信息，可获得 25000 美元的奖金。推测性执行攻击渠道漏洞需要行业响应。为此，微软将根据漏洞披露的原则，分享在此计划下发现的漏洞，以便受影响的各方可以就这些漏洞的解决方案进行合作。与安全研究人员一起，微软可以为客户构建更安全的环境。 新的 bug 奖励计划将于 3 月 14 日启动，并将持续到 12 月 31 日，微软表示如果发现任何攻击漏洞，所有细节将与其他公司共享，以便为所有客户提供保护。这种方法表明，微软及其合作伙伴最优先考虑这些硬件漏洞，尽管该软件巨头是首批为推车行为漏洞启动奖励计划的公司之一。 稿源：cnBeta，封面源自网络；