On Fri, Jan 05, 2018 at 08:41:34PM +0100, Leonardo Boselli wrote:
> On Fri, 5 Jan 2018, Felipe Salvador wrote:
> > Sia meltdown che spectre sono eseguibili (fra le altre modalità) via
> > js[1]. Vista da questa prospettiva la situazione mi pare abbastanza
> > drammatica, non basta NoScript per sentirsi al sicuro. Sentirsi al
> > sicuro perché si ha fiducia non penso abbia molto senso.
> > [1]
> > https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/
>
> osservo che su 7 macchine che ho, gtra ws e server non una ha js
> installato ... Piuttosto nell'articolo che hai citato menziona che è
> stata rilasciato firefox 57.0.4, con mitigrazioni specifiche al
> rischio "maggiore" : tuttavia non lo trovo su security ....
Qualsiasi aggiornamento provenga dall'upstream verrà rilasciato su
debian-security, attualmente non c'è nulla (per stretch).
Maggiori informazioni andrebbero chieste a mozilla. Hanno rilasciato
un aggiornamento per la 57 e a quanto leggo[1], la 52 ESR (la versione
presente in stretch), ha già attiva una delle due contromisure adottate da
mozilla.
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
--
Felipe Salvador
