Recentemente sono state scoperte due enormi vulnerabilità di processore chiamate Meltdown e Spectre che hanno preso d’assalto il mondo intero, mentre i venditori si stanno affrettando a correggere le vulnerabilità nei loro prodotti.
I problemi si applicano a tutti i processori moderni e riguardano quasi tutti i sistemi operativi (Windows, Linux, Android, iOS, macOS, FreeBSD e altri), smartphone e altri dispositivi informatici realizzati negli ultimi 20 anni.
Cosa sono Spectre e Meltdown?
In breve, #Spectre e #Meltdown sono i nomi delle vulnerabilità di sicurezza presenti in molti processori di Intel, ARM e AMD che potrebbero consentire agli aggressori di rubare password, chiavi di crittografia e altre informazioni private.
Entrambi gli attacchi violano “l’esecuzione speculativa” per accedere alla memoria privilegiata, compresi quelli allocati per il kernel, da un processo utente con privilegi bassi come un’app malevola in esecuzione su un dispositivo, consentendo agli aggressori di rubare password, chiavi di accesso e altre informazioni preziose.
Proteggiti contro #Meltdown e #Spectre
Alcuni, tra cui US-CERT, hanno suggerito che l’unica vera patch per questi problemi è la sostituzione dei chip, ma questa soluzione sembra poco pratica per l’utente generale e la maggior parte delle aziende.
I fornitori hanno compiuto progressi significativi nell’installazione di correzioni e aggiornamenti del firmware. Mentre il difetto #Meltdown è già stato patchato dalla maggior parte delle aziende come Microsoft, Apple e Google, #Spectre non è facile da applicare alle patch e perseguiterà le persone per parecchio tempo.
Ecco l’elenco delle patch disponibili dei principali produttori di tecnologia:
Sistema operativo Windows (7/8/10) e Microsoft Edge / IE
Microsoft ha già rilasciato un aggiornamento di sicurezza out-of-band (KB4056892) per Windows 10 per risolvere il problema di Meltdown e rilascerà patch per Windows 7 e Windows 8 il 9 gennaio.
Ma se stai utilizzando un software antivirus di terze parti, è possibile che il tuo sistema non installi automaticamente le patch. Pertanto, se si verificano problemi durante l’installazione dell’aggiornamento automatico della sicurezza, disattivare l’antivirus e utilizzare Windows Defender o Microsoft Security Essentials.
“Il problema di compatibilità è causato quando le applicazioni antivirus effettuano chiamate non supportate nella memoria del kernel di Windows”, ha osservato Microsoft in un post sul blog. “Queste chiamate possono causare errori di arresto (noti anche come errori di schermata blu) che impediscono l’avvio del dispositivo.”
Apple macOS, iOS, tvOS e Safari Browser
Apple ha osservato nel suo advisory, “Tutti i sistemi Mac e i dispositivi iOS sono interessati, ma non ci sono exploit noti che influenzano i clienti in questo momento.”
Per aiutare a difendersi dagli attacchi di Meltdown, #Apple ha già rilasciato delle “mitigations” in iOS 11.2, macOS 10.13.2 e tvOS 11.2, ed ha pianificato di rilasciare “mitigations” anche in Safari per aiutare a difendere contro Spectre nei prossimi giorni.
Sistema operativo Android
Gli utenti Android che eseguono la versione più recente del sistema operativo mobile rilasciata il 5 gennaio come parte dell’aggiornamento della patch di sicurezza di Android di gennaio sono protetti, secondo Google.
Pertanto, se possiedi un telefono con marchio Google, come Nexus o Pixel, il tuo telefono scaricherà automaticamente l’aggiornamento o dovrai semplicemente installarlo. Tuttavia, altri utenti Android devono attendere che i loro produttori di dispositivi rilascino un aggiornamento di sicurezza compatibile.
Il gigante della tecnologia ha anche notato che non è a conoscenza di uno sfruttamento di successo di Meltdown o Spectre su dispositivi Android basati su ARM.
Firefox Web Browser
Mozilla ha rilasciato la versione 57.0.4 di Firefox che include degli aggiornamenti per gli attacchi di sincronizzazione Meltdown e Spectre. Quindi gli utenti sono invitati ad aggiornare le loro installazioni il prima possibile.
“Poiché questa nuova classe di attacchi prevede la misurazione di intervalli di tempo precisi, come un’aggiornamento parziale a breve termine, stiamo disabilitando o riducendo la precisione di diverse fonti di tempo in Firefox”, ha scritto l’ingegnere del software Mozilla Luke Wagner in un post sul blog.
Google Chrome Web Browser
Google ha pianificato le patch per exploit Meltdown e Spectre il 23 gennaio con il rilascio di Chrome 64, che includerà attenuazioni per proteggere il tuo desktop e smartphone dagli attacchi basati sul web.
Nel frattempo, gli utenti possono abilitare una funzione sperimentale chiamata “Site Isolation” che può offrire una certa protezione contro gli exploit basati sul web ma potrebbe anche causare problemi di prestazioni.
“L’isolamento del sito rende più difficile per i siti Web non attendibili accedere o rubare informazioni dai tuoi account su altri siti Web. I siti Web in genere non possono accedere ai dati reciproci all’interno del browser, grazie al codice che applica la stessa politica di origine”. Google dice.
Ecco come attivare il Site Isolation:
Copia chrome: // flags / # enable-site-per-process e incollalo nel campo URL nella parte superiore del tuo browser Chrome, quindi premi il tasto Invio.
Cerca “Strict Site Isolation”, quindi fai clic sulla casella con l’etichetta Abilita.
Al termine, tocca Rilancia ora per riavviare il browser Chrome.
Distribuzioni Linux
Gli sviluppatori del kernel Linux hanno anche rilasciato patch per il kernel Linux con versioni comprese le versioni 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 e 3.2.97, che possono essere scaricate da Kernel.org.
VMware e Citrix
Un leader globale nel cloud computing e nella virtualizzazione, VMware, ha anche rilasciato un elenco dei suoi prodotti interessati dai due attacchi e dagli aggiornamenti di sicurezza per i suoi prodotti ESXi, Workstation e Fusion per la patch contro gli attacchi di Meltdown.
D’altra parte, un altro popolare fornitore di cloud computing e virtualizzazione Citrix non ha rilasciato patch di sicurezza per risolvere il problema. Invece, la società ha guidato i propri clienti e li ha consigliato di verificare eventuali aggiornamenti su software di terze parti pertinente.