Como saber se você ainda está vulnerável ao Meltdown e Spectre
Pesquisadores de segurança revelaram falhas desastrosas em processadores nesta semana. As vulnerabilidades, que foram descobertas pelo Project Zero do Google e apelidadas de Meltdown e Spectre, podem causar o vazamento de dados a partir da memória do kernel – que não é algo ideal, uma vez que o kernel é fundamental para os sistemas operacionais e lidam com uma série de processos sensíveis.
• Falha em processadores é maior do que imaginávamos e afeta Intel, AMD e até smartphones
• Processadores Intel fabricados na última década possuem grande falha de segurança
A Intel diz que está trabalhando para atualizar todos os seus processadores que chegaram ao mercado nos últimos anos. “Ao final da próxima semana, a Intel espera ter completado as atualizações em mais de 90% dos processadores vendidos nos últimos cinco anos”, disse a companhia em um comunicado. Além disso, a fabricante afirma que os computadores não terão a performance prejudicada.
Infelizmente, o Meltdown e Spectre impactam um monte de produtos diferentes – serviços de nuvem, computadores, telefones e navegadores. A sorte é que, em muitos casos, os consumidores não precisarão fazer muita coisa para que seus dispositivos e serviços fiquem seguros; é preciso apenas ficar de olho nas atualizações e instalá-las quando estiverem disponíveis. Em alguns casos, pode ser que você tenha algum azar.
Sistemas Operacionais
macOS
A Apple disse em sua página de suporte que conteve a vulnerabilidade Meltdown na atualização do macOS High Sierra 10.13.2, lançada em dezembro de 2017, e que irá lançar um update para consertar os problemas com o Spectre em breve. A empresa disse que irá continuar a “desenvolver e testar mais atenuantes para esses problemas”, que serão liberados em atualizações futuras.
Essa atualização de segurança da Apple parece confirmar que os problemas foram consertados no High Sierra, Sierra e El Capitan.
Windows
A Microsoft geralmente libera suas atualizações de segurança no Patch Tuesday (que deve chegar na próxima terça), mas já possui algumas correções de emergência pra já.
“A Microsoft não recebeu nenhuma informação que indica que essas vulnerabilidades tenham sido utilizadas para realizar ataques aos consumidores neste momento”, disse a companhia em comunicado. “A Microsoft continua trabalhando de perto com os parceiros da indústria, incluindo fabricantes de processadores e de equipamentos e com vendedores de aplicações para proteger os consumidores. Para obter todas as proteções disponíveis, atualizações de hardware/firmware e software são necessárias”.
A companhia diz que o Windows 7 Service Pack 1, Windows 8.1 e Windows 10 precisam de atualizações (o update para o Windows 10 está aqui). A maioria dos usuários de Surfaces recebem atualizações automáticas e informações sobre esses updates estão disponíveis aqui.
Infelizmente, usuários que rodam o Windows em máquinas não fabricadas pela companhia precisarão realizar um update de firmware também, e a liberação dessas atualizações vai depender da fabricante do produto. A Microsoft recomenda contatar a fabricante para informações… Eu desejo sorte.
Existe outro detalhe esquisito no processo de atualizações da Microsoft – alguns programas de antivírus talvez atrapalhem tudo.
“A Microsoft está apenas oferecendo as atualizações de segurança do Windows lançadas no dia 3 de janeiro de 2018 para os dispositivos rodando programas de antivírus de parceiros que confirmaram que seus softwares são compatíveis”, explica a empresa. “Se a atualização de segurança não foi oferecida para você, talvez seja porque está rodando um antivírus incompatível. Entre em contato com a desenvolvedora”.
O arquiteto de segurança Kevin Beaumont tem uma planilha extremamente útil que mostra quais empresas de antivírus possuem o software compatível com a atualização da Microsoft.
Google Chrome OS
Para estar protegido contra o Meltdown e Spectre, você precisa ter o Chrome OS 63, que foi lançado em dezembro de 2017. Alguns dispositivos mais velhos receberão correções em breve, enquanto outros sequer serão atualizados. Você pode checar pelo seu dispositivo específico aqui (procure pelo fim de vida útil [end of life, ou EoL], na coluna de atualização automáticas ou na coluna ‘KPTI eventually?’ – significa que o seu dispositivo não receberá a correção).
Ubuntu
Não existem correções para Ubuntu ainda, mas serão liberadas em breve.
“A data de divulgação coordenada originalmente era para 9 de janeiro e estávamos nos preparando para lançar correções perto dessa data. Devido às revelações precoces, estamos tentando acelerar o lançamento, mas não temos ainda uma previsão sobre quando as atualizações serão lançadas. Iremos liberar o Ubuntu Security Notices quando os updates estiverem liberados”, disse o Ubuntu.
Sistemas mobiles
iOS e watchOS
A Apple disse que a atualização do iOS 11.2 de dezembro de 2017 conteve a vulnerabilidade Meltdown, então atualize o seu dispositivo se ainda não tiver o feito. O tvOS 11.2 também corrige o problema do Meltdown. A companhia diz que o “Apple Watch não é afetado pelo Meldown”, então não é preciso nenhuma correção.
Atualizações para corrigir o Spectre estão a caminho, segundo a empresa. Eles alertam os usuários a evitar o download de aplicativos de fontes desconhecidas.
“Uma vez que a exploração da brecha exige que um aplicativo malicioso esteja carregado em seu Mac ou dispositivo iOS, recomendamos que baixe programas e aplicativos apenas de fontes confiáveis como a App Store”, avisa a empresa.
Android
“Na plataforma Android, a exploração da brecha se mostrou difícil e limitada na maioria dos dispositivos”, disse o Google.
A empresa liberou uma correção para as fabricantes de telefones Android em dezembro de 2017, mas o processo de atualização de segurança na plataforma pode ser muito lenta devido a programação própria de updates das fabricantes. Isso pode fazer com que alguns dispositivos sequer recebam a correção. No entanto, dispositivos Android antigos que não são atualizados há algum tempo também devem hospedar uma série de outros bugs – é improvável que um atacante explore a brecha do Meltdown ou Spectre se é possível chegar ao alvo por um método menos complexo.
Usuários do Android que possuem um dispositivo Pixel ou Nexus receberão as correções em algum momento deste mês, de acordo com o Google. Os usuários do Nexus precisam aceitar a atualização; os usuários do Pixel receberão automaticamente mas precisarão reiniciar seus aparelhos para completar a instalação.
“Não tivemos relatos de exploração em dispositivos ativos ou algo tipo de abuso desses novos problemas”, comentou o Google.
Navegadores
Chrome
O Chrome 64 deve ser lançado no dia 23 de janeiro e incluirá a proteção para o Meltdown e Spectre.
Enquanto isso não acontece, o Chrome possui uma funcionalidade opcional chamada isolamento de site que pode oferecer alguma proteção, mas também pode causar problemas de performance, principalmente no Chrome do Android. O isolamento de site coloca as páginas em uma caixa fechada de diferentes processos, o que “torna mais difícil para websites não confiáveis acessarem ou roubarem informações de suas contas de outros websites”, de acordo com o Google.
“Com o Isolamento de Site ativo, os dados expostos a supostos ataques side-channel (ataques baseados em informações obtidas a partir de implementação física de um sistema criptografado) são reduzidos enquanto o Chrome renderiza o conteúdo para cada site aberto em um processo diferente”, explica a empresa.
Se você não tiver problemas em trocar performance por segurança, é só habilitar a opção aqui.
Safari
Uma atualização para o Safari ainda não chegou, mas a Apple prometeu que um update para proteger contra o Spectre chegará “nos próximos dias” para as versões de macOS e iOS.
Assim como outras empresas que falaram sobre as preocupações de performance relacionados às atualizações para o Meltdown e Spectre, a Apple tomou um tom otimista, dizendo que os testes atuais mostram que as próximas atualizações “não terão impacto perceptível nos testes Speedometer e ARES-6 e apenas um impacto de menos de 2,5% no benchmark JetStream”.
Firefox
A Mozilla liberou o Firefox 57 em novembro de 2017 e ele contém o que a empresa chama de “atenuante parcial e de curto prazo” para as vulnerabilidades.
“A extensão completa dessa classe de ataque ainda está sob investigação e estamos trabalhando com pesquisadores de segurança e outros desenvolvedores de navegadores para entender completamente a ameaça e as correções”, escreveu o engenheiro de software Luke Wagner em um post oficial da Mozilla. “Para o longo prazo, começamos a experimentar técnicas de remoção de informação vazada mais próxima da fonte”.
Microsoft Edge e Internet Explorer
Atualizações já estão disponíveis para o Edge e Internet Explorer 11.
“Estamos realizando mudanças no comportamento das versões do Microsoft Edge e Internet Explorer 11 para mitigar a possibilidade de ler a memória por meio desse novo tipo de ataque side-channel”, escreveu o gerente principal de projetos do Edge, John Hazen, em um publicação no blog. “Continuaremos a avaliar o impacto das vulnerabilidades de CPU publicadas hoje e introduzir atenuantes adicionais exigidas nas lançamentos futuros”.
Serviços de nuvem
É aqui é o Meltdown e Spectre causam uma boa bagunça – mas é onde os consumidores sentirão os menores impactos.
Amazon Web Services
A maioria das instâncias da AWS já estão seguras, informou a Amazon em um boletim de segurança. No entanto, consumidores precisam tomar algumas iniciativas para protegerem seus dados.
“Embora essas atualizações do AWS realizem uma proteção à infraestrutura, para ficar completamente protegido desses problemas, os clientes também devem corrigir seus sistemas operacionais de instância”, explicou a Amazon.
Microsoft Azure
Assim como o AWS, a maior parte da infraestrutura do Azure já foi atualizada, segundo a Microsoft.
“Alguns aspectos do Azure ainda estão sendo atualizados e exigem uma reinicialização das máquinas virtuais dos consumidores para tomarem efeito. Muitos de vocês já receberam notificações nas últimas semanas de uma manutenção planejada do Azure e já reiniciaram suas VMs para aplicar a correção e nenhuma ação adicional é exigida”, acrescentou a companhia.
Google Cloud Platform
Alguns produtos do Google Cloud já estão seguros, enquanto outros exigem que consumidores realizem algumas ações – particularmente Google Compute Engine, Google Kubernetes Engine, Google Cloud Dataflow e Google Cloud Dataproc.
Imagem do topo: Graz University of Technology/Natascha Eibl