Nesta era digital da tecnologia, a tecnologia nos ajuda a nos conectarmos uns com os outros e a sermos mais produtivos. Mas você já se perguntou o quão seguro eles são? Bem, novas Vulnerabilidades nomeadas Espectro e Fusão, que exploram vulnerabilidades críticas em processadores modernos acabam de ser descobertos. Esses erros de hardware permitem que programas roubem dados sendo processados no computador.
Vulnerabilidade de fusão
Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system.
Essa vulnerabilidade permitiria ataques mal-intencionados quando um hacker pudesse quebrar o fator de diferenciação entre os aplicativos executados pelo usuário e a memória principal do computador.
Gravidade:
Nós gostaríamos de ligar Fusão uma das vulnerabilidades mais perigosas já encontradas pelo menos para uma CPU. Daniel Gruss é um dos pesquisadores da Universidade de Tecnologia de Graz e é um dos responsáveis por descobrir essa falha. Em uma declaração ele disse:
Meltdown is probably one of the worst CPU bugs ever found!
Ele também falou sobre a urgência dessa situação e como é importante corrigir essa falha em um aviso tão rápido, pois deixa uma séria vulnerabilidade para os usuários em todo o mundo. Isso deixa milhões de dispositivos vulneráveis a ataques sérios. Isso é tão importante para ser corrigido, porque tudo o que é executado como um aplicativo pode roubar seus dados. Isso inclui quaisquer programas aplicativos ou até mesmo scripts JavaScript em execução em uma página da Web em qualquer navegador. Isso torna o Meltdown realmente perigoso para nós e fácil para os hackers.
Vulnerabilidade do espectro
Spectre breaks the isolation between different applications. It allows an attacker to trick error-free programs, which follow best practices, into leaking their secrets. In fact, the safety checks of said best practices actually increase the attack surface and may make applications more susceptible to Spectre
O espectro é ligeiramente diferente do Meltdown. Isto é assim porque pode permitir que os hackers enganem os aplicativos (mesmo as versões estáveis do respectivo aplicativo) em execução em uma máquina para fornecer informações secretas do módulo Kernal do sistema operacional para o hacker com o consentimento ou conhecimento do usuário.
Gravidade:
Mesmo que seja dito que é mais difícil para os hackers se aproveitarem, mas você deve sempre ter cuidado, porque é você quem está vulnerável. Além disso, vale a pena notar que é mais difícil de ser corrigido e pode levar a um problema maior nos planos de longo prazo.
Você é afetado por vulnerabilidades de Specter ou Meltdown?
Os computadores desktop, laptop e nuvem podem ser afetados pelo Meltdown. Todo processador Intel que implementa execução fora de ordem é potencialmente afetado, o que é efetivamente cada processador desde 1995 (exceto Intel Itanium e Intel Atom antes de 2013). No momento, não está claro se os processadores ARM e AMD também são afetados pelo Meltdown.
Como acontece com o Spectre, quase todos os sistemas são afetados por ele: desktops, laptops, servidores em nuvem e smartphones.
Bem, se você está executando qualquer um dos processadores modernos, não importa se eles são feitos pela Intel, AMD ou ARM ou qual dispositivo você está usando, você é vulnerável ao Specter.
Por outro lado, se você estiver executando chips da Intel que foram fabricados desde 1995, você está vulnerável. Mas há uma exceção de chips Itanium e Atom que foram feitos antes de 2013.
Quem foi atacado ainda?
De acordo com as informações do Centro Nacional de Segurança Cibernética do Reino Unido, não há nenhum vestígio atual de Meltdown ou Spectre afetando quaisquer máquinas em todo o mundo, mas também é importante notar que esses ataques são tão sensíveis que são realmente difíceis de serem detectados.
Especialistas disseram que esperam que hackers desenvolvam rapidamente programas para atacar usuários com base na vulnerabilidade, como é pública agora. Chefe Executivo da firma de consultoria de Cybersecurity, Trail of Bits, Dan Guido disse:
Exploits for these bugs will be added to hackers’ standard toolkits.
Aqui está como você pode ficar seguro:
O que você precisa fazer é mantenha tudo você r dispositivo atualizado com as correções mais recentes disponíveis. Habilitar o isolamento estrito do site no Chrome e impedir o carregamento do JavaScript são as outras precauções que você pode tomar.
Contudo, US CERT disse: “Substitua o hardware da CPU. A vulnerabilidade subjacente é causada principalmente pelas opções de design da arquitetura da CPU. A remoção completa da vulnerabilidade requer a substituição de hardware de CPU vulnerável.”
Sabemos que as correções para sistemas operacionais Linux e Windows já estão disponíveis. Os Chromebooks já estão seguros se estiverem executando o Chrome OS 63, lançado em meados de dezembro para o público. Se o seu telefone Android estiver executando o patch de segurança mais recente, ele já estará protegido. Para usuários que possuem telefones Android de outros OEMs como OnePlus, Samsung ou qualquer outro OEM, você deve aguardar uma atualização deles sobre o mesmo. A maioria dos navegadores e desenvolvedores de software também lançou atualizações - e você precisa ter certeza de que atualizou seu software para a versão mais recente.
Microsoft lançou um cmdlet do PowerShell que permite descobrir se o seu computador com Windows é afetado pelas Vulnerabilidades da CPU do Meltdown e do Specter e sugeriu maneiras de proteger o sistema dele.
Uma lista de antivírus e software de segurança compatíveis atualizados continuamente está disponível aqui.
Essas correções afetam o desempenho da minha máquina?
Bem, diz-se que as correções para o Specter não afetarão imediatamente o desempenho da máquina, mas as correções do Meltdown afetarão significativamente o desempenho.
Se você deseja saber mais sobre essas vulnerabilidades, consulte esta documentação oficial sobre o mesmo Aqui.
Leitura relacionada: Processadores Intel têm falhas de design, resulta em "Kernal Memory Leaking".
