Vulnerabilități ale procesului de topire și spectru: Iată ce trebuie să știți

Vulnerabilidades da CPU de Meltdown e Spectre: Aqui está o que você precisa saber

⌛ Reading Time: 4 minutes

Pesquisadores do Project Zero, braço de segurança cibernética do Google, descobriram um par de vulnerabilidades em algumas das CPUs mais populares usadas em PCs, Macs e dispositivos portáteis. As falhas de segurança Meltdown e Spectre foram descritas por alguns comentaristas como algumas das “piores ameaças de segurança”, afetando milhões de usuários em todo o mundo.

Os fabricantes de computadores reagiram rapidamente, no entanto, e já existem soluções disponíveis para muitos dispositivos. As falhas foram descobertas originalmente em meados de 2017, e o Google tem trabalhado em particular com várias empresas para liberar as correções de segurança necessárias. Neste artigo, explicaremos o que essa ameaça mais recente significa e como você pode se proteger dela.

O que são Meltdown e Spectre?

Este par de ameaças à segurança, que daria um bom nome para uma dupla de DJs eletrônicos, afeta a maioria dos computadores modernos. Dado que eles são nativos de chipsets de CPU da Intel, AMD e ARM, há um muito É muito provável que seu PC, Mac, iPhone ou telefone Android use um chipset de um desses fabricantes e que você seja afetado. Ambos Spectre e Meltdown afetam os chipsets Intel e ARM, enquanto apenas Spectre afeta a AMD.

Essas ameaças estão em um processo de CPU conhecido como “execução especulativa”, que acelera os processos ao permitir que o chip antecipe as próximas ações que um usuário pode realizar. Em outras palavras, ele realiza parcialmente os processos antes que eles aconteçam, permitindo que os programas acessem informações potencialmente sensíveis, como senhas, chaves de criptografia e dados bancários, mesmo sem serem abertos pelo usuário.

É importante notar que, para que o Meltdown tenha uma chance de afetar você, você precisa primeiro ter um aplicativo ou programa malicioso em seu computador. Spectre, por outro lado, é muito mais difícil de explorar por hackers, mas poderia potencialmente atacá-lo usando código JavaScript malicioso em um site. Isso é muito improvável, entretanto, e na maioria das vezes essas não são vulnerabilidades que podem simplesmente atingir você do nada.

O que os fabricantes de chipset afetados estão dizendo

Todos os fabricantes de chipset afetados já deram sua opinião sobre o problema e, talvez de forma previsível, a AMD e a Intel ficaram na defensiva, até mesmo atacando indiretamente seu rival. ARM, por sua vez, tem sido um pouco mais neutro, visto que está em competição direta com os outros dois, lidando principalmente com chips Android e iOS. O que se segue é um pouco do que eles têm a dizer.

Intel

Relatórios recentes de que esses exploits são causados ​​por um “bug” ou uma “falha” e são exclusivos dos produtos Intel estão incorretos. Com base na análise até o momento, muitos tipos de dispositivos de computação – com processadores e sistemas operacionais de muitos fornecedores diferentes – são suscetíveis a essas explorações.

AMD

Para ser claro, a equipe de pesquisa de segurança identificou três variantes visando a execução especulativa. A ameaça e a resposta às três variantes diferem de acordo com a empresa do microprocessador, e a AMD não é suscetível a todas as três variantes. Devido às diferenças na arquitetura da AMD, acreditamos que haja um risco quase zero para os processadores AMD neste momento. Esperamos que a pesquisa de segurança seja publicada ainda hoje e forneceremos mais atualizações naquele momento.

BRAÇO

Este método requer malware executado localmente e pode resultar no acesso aos dados da memória privilegiada. Observe que nossos processadores Cortex-M, que são onipresentes em dispositivos IoT conectados de baixa energia, não são afetados.

Como se proteger no Windows

meltdown-specter-need-to-know

Quando a notícia foi revelada, a Microsoft lançou um hotfix para o Windows 7, 8 e 10 que você deve instalar imediatamente, caso ainda não o tenha feito. Deve ser uma atualização automática, portanto, se você desligar ou reiniciar seu PC, deverá aparecer “Atualizar e Desligar” se você ainda não tiver atualizado. Faça isso imediatamente.

Como se proteger no Mac e iPhone

A Apple anunciou que antes de as vulnerabilidades serem reveladas, ela já lançou ‘”mitigações” no iOS 11.2, macOS 10.13.2 e tvOS 11.2, embora afirmando que o Apple Watch não foi afetado. A palavra-chave aqui é “mitigação”, já que esse problema está profundamente enraizado para ser facilmente resolvido por essas empresas. Você estará mais protegido, pois o software antivírus será capaz de detectar ataques, mas as falhas ainda existirão. Isso se aplica a todos os dispositivos.

Como se proteger no Android

O Google disse que a grande maioria dos usuários do Android provavelmente não será afetada pelas vulnerabilidades, mas mesmo assim lançou um patch em dezembro de 2017 para todos os principais fabricantes de smartphones. Como bem sabemos, no entanto, o processo de patch do Android pode ser lento, então, a menos que você tenha um Nexus ou smartphone Pixel, pode ser necessário esperar um pouco. Enquanto isso, seja muito desconfie de baixar aplicativos desconhecidos para o seu telefone.

Como se proteger no Ubuntu (Linux)

Os desenvolvedores do Ubuntu estavam trabalhando no lançamento de correções a tempo para 9 de janeiro, que era a data original em que essas vulnerabilidades deveriam ser divulgadas. Mas como eles foram lançados antes do tempo, o Ubuntu agora está lutando para conseguir as correções a tempo. Fique de olho no Página de avisos de segurança do Ubuntu para atualizações.

Conclusão

A boa notícia é que ainda não houve relatos de alguém sendo atacado usando essas vulnerabilidades e, na maioria das vezes, as empresas estavam prontas e aguardando as correções necessárias. Talvez seja um exagero chamá-la de a “pior vulnerabilidade de segurança de todos os tempos”, mas é sem dúvida a de maior alcance, afetando quase todos os dispositivos. No entanto, a maioria das mesmas regras se aplicam: mantenha seu dispositivo atualizado e não baixe softwares duvidosos!

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.