Jan

Vulnerabilidade Meltdown & Spectre

 

O que são o Spectre e o Meltown?

O Spectre e o Meltown são os nomes dados às falhas que foram verificadas em diversos processadores dos fabricantes Intel, ARM e AMD e que podem levar a que hackers ganhem acesso a passwords, chaves de encriptação e diversa outra informação privada.

 

Qual a diferença entre eles?

O Meltdown quebra o mecanismo que impede que os aplicativos acedam à memória arbitrária do sistema. Assim, os aplicativos podem aceder à memória do sistema. O Spectre engana outras aplicações para aceder arbitrariamente a  locais na memória. Ambos os ataques usam canais laterais para obter as informações da localização da memória acedida.

 

Meltdown

Quem descobriu estas falhas?

O Meltdown foi descoberto e reportado de forma independente por três equipas:

– Jann Horn (Google Project Zero);
– Werner Haas, Thomas Prescher (Cyberus Techonology);
– Daniel Gruss, Moritz Lipp, Stefan Mangard, Michael Schwarz (Graz University of Technology)

 

O Spectre foi descoberto e reportado de forma independente por duas pessoas:

– Jann Horn (Google Project Zero);
– Paul Kocher, em colaboração com Daniel Genkin (Universidade da Pensilvânia e Universidade de Maryland), Mike Hamburg (Rambus), Moritz Lipp (Graz University of Technology) e Yuval Yarom (Universidade de Adelaide e Data61)

 

Spectre

Já estão a ser exploradas?

Até ao momento não existe indicação de que já estejam a ser utilizadas para ganhar acessos indevidos, mas na verdade não se sabe.

 

Como me protejo?

A Intel encontra-se a desenvolver um patch para correcção da falha, no entanto ainda deverá demorar alguns dias até que consigam abranger todos os CPUs desenvolvidos nos últimos anos. Ao mesmo tempo as empresas que desenvolvem Sistemas Operativos, como a Microsoft, Google, Apple,  etc, estão a tentar corrigir o problema através de patches no próprio Sistema Operativo. O problema com estes segundos é que existem reports de causarem perda significativa de recursos de CPU, entre os 5 a 30%.

 

Tenho alojamento com a WebHS, preciso de fazer algo?

Não. Não existe necessidade de qualquer intervenção da sua parte. Poderá existir downtime de alguns minutos, em alguns servidores específicos, para actualizações adicionais de segurança.

 

Tenho um servidor com a WebHS, com gestão feita pela WebHS, preciso de fazer algo?

Não. Não existe necessidade de qualquer intervenção da sua parte. Será (ou já foi) contactado para ser realizado reboot à medida que forem sendo libertados patches pelos fabricantes.

 

Tenho um servidor com a WebHS, com gestão feita por mim, preciso de fazer algo?

Sim. Terá que realizar uma actualização do Sistema Operativo.

 

CVE’s sobre este tema

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754

 

Informação adicional em  https://meltdownattack.com/