Alerta de Vulnerabilidades - Meldown e Spectre
Foram descobertas duas vulnerabilidades (Meltdown e Spectre) que ao serem exploradas por aplicações maliciosas, permitem o roubo de dados guardados em memória de outros programas que se encontrem a correr, como por exemplo, passwords guardadas no gestor de passwords, emails, documentos, entre outros.
Estas vulnerabilidades podem ser exploradas em computadores pessoais, equipamentos móveis ou em ambientes cloud. No caso dos ambientes cloud, dependendo da infraestrutura do fornecedor, pode ser possível roubar dados de outros clientes.
A exploração destas vulnerabilidades é de difícil deteção, visto que não deixa registos no logs tradicionais.
A exploração destas vulnerabilidades podem permitir que um atacante obtenha informação sensível.
Aconselhamos o contacto com os fornecedores de Sistema Operativo para ter acesso à informação mais recente.
Devido à vulnerabilidade encontrar-se na arquitetura do CPU, e não no software, a atualização pode não resolver totalmente estas vulnerabilidades em todos os casos.
No caso da Intel foi lançada uma ferramenta de deteção das vulnerabilidades em questão:
https://downloadcenter.intel.com/download/26755/INTEL-SA-00075-Detection-and-Mitigation-Tool
Seguem os links das medidas de mitigação para cada um dos vendedores:
Amazon - https://aws.amazon.com/pt/security/security-bulletins/AWS-2018-013/
AMD - https://www.amd.com/en/corporate/speculative-execution
Android - https://source.android.com/security/bulletin/2018-01-01
Apple (não oficial) -
https://www.macrumors.com/2018/01/03/intel-design-flaw-fixed-macos-10-13-2/
ARM - https://developer.arm.com/support/security-update
CentOS
https://lists.centos.org/pipermail/centos-announce/2018-January/date.html
Chromium - https://www.chromium.org/Home/chromium-security/ssca
Citrix - https://support.citrix.com/article/CTX231399
F5 - https://support.f5.com/csp/article/K91229003
Google
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
Huawei
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
IBM
https://exchange.xforce.ibmcloud.com/collection/Central-Processor-Unit-CPU-Architectural-Design-Flaws-c422fb7c4f08a679812cf1190db15441
Intel
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
Lenovo - https://support.lenovo.com/pt/pt/solutions/len-18282
Linux - https://lkml.org/lkml/2017/12/4/709
Microsoft Azure
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
Microsoft Windows
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
NVIDIA - http://nvidia.custhelp.com/app/answers/detail/a_id/4609
OpenSuSE
https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html
Red Hat
https://access.redhat.com/security/security-updates/#/security-advisories?q=&p=1&sort=portal_publication_date%20desc&rows=10&documentKind=PortalProduct
SuSE
http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html
Trend Micro
https://success.trendmicro.com/solution/1119183-important-information-for-trend-micro-solutions-and-microsoft-january-2018-security-updates
VMware - https://www.vmware.com/security/advisories/VMSA-2018-0002.html
Xen - http://xenbits.xen.org/xsa/advisory-254.html
Após a mitigação é referido em algumas fontes que poderá ser sentida uma degradação na performance da máquina, especialmente em casos de grande acesso a storage, rede ou caso sejam feitas muitas chamadas ao kernel.
Novas medidas de mitigação para Meltdown e/ou Spectre serão comunicadas quando disponíveis.
CVE-Mitre:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754
SpectreAttack.com:
https://spectreattack.com/
https://meltdownattack.com/
The Register:
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/