venerdì 5 gennaio 2018

Meltdown e Spectre, gravi vulnerabilità in processori: arrivano patch


Dopo la vulnerabilità nell'interfaccia di debug nei processori Intel, due nuovi exploit nella maggior parte dei moderni chip rendono vulnerabile agli attacchi.  Intel dice che sta già iniziando a inviare aggiornamenti software che renderanno i suoi processori "immuni" agli hack "Meltdown" e "Spectre" che sono stati rivelati per la prima volta mercoledì. I bug potrebbero consentire a un hacker di accedere a informazioni sensibili, come foto o password, da quasi tutti i computer, smartphone e tablet. Intel ha detto giovedì in un comunicato stampa che prevede di rilasciare aggiornamenti entro la fine della settimana per oltre il 90% dei processori prodotti e introdotti negli ultimi cinque anni.

Ciò lascia ancora molto da fare: si ritiene che gli attacchi Meltdown e Spectre rappresentino una minaccia per quasi tutti i processori Intel realizzati dal 1995. Ma salvaguardare gli ultimi cinque anni di chip è un buon inizio. "Inoltre, molti produttori di sistemi operativi, fornitori di servizi cloud pubblici, produttori di dispositivi e altri hanno indicato di aver già aggiornato i loro prodotti e servizi", spiega Intel comunicato. In ogni caso, secondo la stessa azienda le vulnerabilità non sarebbero così gravi da rappresentare una vera minaccia alla sicurezza dei device, e dunque non esisterebbe l'eventualità che qualche attaccante possa corrompere, modificare o eliminare dati. Fa però discutere la vicenda del suo Ceo, Brian Krzanich che, come riporta il Mail Online, nel novembre scorso ha venduto azioni di Intel per 24 milioni di dollari.

All'epoca era a conoscenza della vulnerabilità, ma la società nega che ci possa essere qualsiasi correlazione. Secondo un documento della Sec, l'organo di controllo dei mercati americani, il piano sarebbe però del 30 ottobre. Una data troppo recente per dissolvere ogni dubbio. "La vulnerabilità è probabilmente la più grave di questi ultimi anni. Prevedo un impatto superiore a quanto affermano le cronache internazionali e le aziende coinvolte", spiega all'Ansa Raoul Chiesa, esperto di cyber security, membro del Consiglio Direttivo dell'Aiic, l'Associazione Italiana Esperti Infrastrutture Critiche. "I rischi non riguardano solo password, foto, pc e smartphone ma anche l'Internet delle cose, le smart tv, le auto di nuova generazione tra cui nuovi modelli di Bmw, Audi, Chrysler, Ford, Honda, Mazda, Opel e il settore gaming", aggiunge.


Non è chiaro, pertanto, quanti dispositivi mobili potrebbero essere a rischio hackeraggio. Nel dettaglio, gli esperti hanno scoperto due diverse falle. La prima, battezzata "Meltdown", interessa Intel ed è stata individuata in modo indipendente da tre gruppi di ricercatori (il Politecnico austriaco di Graz, la società tedesca di sicurezza informatica Cerberus e il Project Zero di Google), mentre la seconda, "Spectre", coinvolge sia Intel che Arm e Amd, ha due varianti ed è stata svelata dal team di Google. Tutte le falle hanno a che vedere con la cosiddetta "esecuzione speculativa" (speculative execution), una funzionalità con cui i processori, per velocizzare le operazioni, cercano di intuire quale strada tra due possibili è più probabile che venga presa, iniziando quindi a eseguire i calcoli prima di ricevere le dovute istruzioni.  

Meltdown identifica la vulnerabilità Cve-2017-5754 o "rogue data cache load" che consente a un programma di accedere alla memoria di altri programmi e del sistema operativo. Spectre identifica la Cve-2017-5753 o "bounds check bypass" e la Cve-2017-5715 o "branch target injection", vulnerabilità che aggirano l'isolamento tra diverse applicazioni permettendo a un hacker di accedere ai dati in memoria di altre app. Spectre potrebbe essere veicolata tramite JavaScript eseguito dal browser web. Microsoft ha rilasciato un fix per Windows 10 (Kb4056892), mentre quello per le versioni più vecchie del sistema operativo (7 e 8), arriverà nel Patch Tuesday del 9 gennaio. Apple ha rilasciato l'update 10.13.2 di MacOS e ha annunciato miglioramenti nel 10.3.3, Google ha reso noto di aver aggiornato Android e Chrome OS.

Anche il kernel Linux riceverà a breve le correzioni necessarie. Gli aggiornamenti installati potrebbero rallentare le prestazioni dei microprocessori Intel, sia su Linux che su Windows. Un impatto prestazionale stimato tra il 5% e il 30%, a seconda del modello di processore. Secondo la società, comunque, "per i normali utenti di computer l'impatto sulle performance non dovrebbe essere significativo e sarà mitigato nel corso del tempo". Amd ha evidenziato che dalle analisi fin qui eseguite i suoi prodotti non presentano i problemi in questione. L'azienda ha detto in una nota che "la minaccia e la risposta alle tre varianti differiscono da società a microprocessore, e Amd non è suscettibile di tutte e tre le varianti A causa delle differenze di architettura di Amd, crediamo che ci sia questa volta un rischio quasi zero per i processori Amd".





Via: Wochit

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...