Chips Intel e bugs Spectre e Meltdown: afinal, o que acontece e como resolver?

Conforme noticiamos aqui no Canaltech, um relatório feito pelo The Register apontou que todos os computadores fabricados desde 1995 com chipsets Intel sofrem de graves vulnerabilidades que permitem que pessoas não autorizadas acessem áreas nas máquinas de usuários que não deveriam estar acessíveis para ninguém, muito menos para desconhecidos. Com a falha, quaisquer programas têm permissão para ler (e compartilhar!) os conteúdos protegidos. Isso se dá porque as falhas impactam o bom funcionamento do kernel, que é o núcleo do controle do sistema operacional e que conecta os aplicativos ao processador, memória e demais hardwares.

Isso é preocupante porque os dados pessoais de quem utiliza a máquina desprotegida podem ser facilmente vazados, incluindo as senhas cadastradas e salvas e históricos de mensagens pessoais.

Após serem analisadas pelo pesquisador de segurança do Project Zero da Google, Jann Horn, descobriu-se que são duas falhas diferentes, batizadas de Meltdown e Spectre, os simpáticos desenhos da capa da matéria.

O Meltdown (CVE-2017-5754) está relacionado a programas suspeitos compermissão de acesso a informações sigilosas, como senhas salvas nos navegadores e softwares, além do sistema operacional como um todo. Isso se dá por conta de um bug no isolamento fundamental entre as aplicações e o usuário.

Já o Spectre (CVE-2017-5753; CVE-2017-5715), realiza a quebra entre o isolamento de duas aplicações diferentes, de forma que algum cibercriminoso mal intencionado possa enganar um programa de forma simples, pois o fantasminha consegue fazer um programa roubar informações de outro programa, bastando que os dois programas rodem no mesmo sistema operacional.

A análise do Google também reportou que identificar ambas as falhas é bem complicado, uma vez que elas não deixam rastros como a maior parte dos bugs. Obviamente, isso também impacta a capacidade dos antivírus em encontrar as falhas e prevenir os ataques. Veja como se precaver de acordo com as características de cada dispositivo que você possui abaixo:

Microsoft Windows

A Microsoft lançou ontem (4) uma atualização emergencial de segurança (KB4056892) para todos os dispositivos que utilizam o Windows 10. O update será automático e, obviamente, gratuito, e tem como objetivo corrigir os problemas nos processadores da Intel, AMD e ARM. Mas atenção: máquinas com antivírus podem bloquear a atualização. Nesse caso, interrompa o antivírus por alguns minutos e utilize o Windows Defender ou o Microsoft Security Essentials para instalar o patch. Entretanto, a eficácia da correção dos bugs vai depender das ações tomadas pelas fabricantes de chips e dos softwares de antivírus, pois o update está relacionado apenas ao kernel.

Já aqueles usuários que utilizam versões anteriores do Windows, deverão aguardar atualizações também automáticas que serão liberadas na próxima terça-feira (9).

A Microsoft avisa de antemão que pode haver lentidão no sistema após as correções, especialmente naquelas máquinas que operam com processadores muito antigos. Os processadores com arquitetura skylake, mais recentes, não sentirão grandes diferenças.

"Estamos cientes deste problema e trabalhando em estreita colaboração com os fabricantes de chips para desenvolver e testar soluções para proteger nossos clientes. Estamos no processo de implantação de paliativos para serviços em nuvem e também lançamos atualizações de segurança para proteger os clientes do Windows contra vulnerabilidades que afetam os chips da Intel, ARM e AMD. Não recebemos informações para indicar que essas vulnerabilidades foram usadas para atacar nossos clientes.", publicou a Microsoft.

É importante verificar no Windows 10 se o KB4056892 está instalado e se os navegadores estão atualizados para as versões mais recentes, bem como garantir as correções de BIOS liberadas pela Dell, HP, Lenovo e tantas outras fabricantes de computadores e laptops.

Mozilla Firefox

Conforme publicamos aqui, a Mozilla lançou ontem (4) a atualização 57.0.4 do Firefox e o update vem com um patch de segurança que evita a insersão de códigos de JavaScript por cibercriminosos interessados em explorar as vulnerabilidades. Para baixar as atualizações tanto para computadores quanto para dispositivos móveis, basta clicar aqui e seguir as instruções.

"Uma vez que esses novos tipos de ataques envolvem a precisão de medida de intervalos de tempo, como uma solução parcial e paliativa nós estamos desabilitando ou reduzindo a precisão de diversas fontes de tempo no Firefox", explicou Luke Wagner, engenheiro de software da Mozilla.

Google e o Chrome 

A Google chegou para salvar o dia e publicou mais detalhes sobre os bugs em seu blog de segurança. Segundo ela, a correção Retpoline é capaz de resolver totalmente a vulnerabilidade do Spectre (CVE-2017-5715), e dar uma baqueada no Meltdown ao isolar o kernel de forma eficiente. A expectativa é de que as correções diminuam um pouco a performance do disposito, algo entre 5% a 30%, a depender da configuração e idade do processador. A Google revelou que está aplicando a correção Retpoline em seus servidores e está compartilhando as soluções com outras empresas.

Entretanto, atualizações corretoras para o navegador Google Chrome estão prometidas apenas para a longínqua data de 23 de janeiro.

Ate lá, como ensina o site The Hacker News, uma ferramenta do Google chamada Strict Site Isolation pode ajudar na proteção. Segundo a Google, ela dificulta o acesso e, portanto, o roubo de informações, por websites não confiáveis. Porém, o procedimento pode tornar o desempenho da máquina um pouco mais lento.
Para ligar a ferramenta, siga o passo-a-passo:

1. Insira chrome://flags/#enable-site-per-process na barra de endereços do Google Chrome e aperte Enter;
2. Procure por Strict Site Isolation. Mesmo se seu navegador estiver configurado em português, as opções aparecerão em inglês. Basta clicar em Ativar ou Enable;
3. Confirme as opções.

Apple

Segundo relatório publicado pela ARM, a falha também pode atacar iPhones, iPads, iPods e até a Apple TV, devido ao uso dos processadores Cortex-A8, A9 e A15, que equipam alguns dos produtos da maçã. Oficialmente, a Apple publicou que todos os seus produtos com macOS e iOS estão afetados pelo bug: "Todos os sistemas Mac e dispositivos iOS estão afetados, mas não há nenhuma atuação impactando os consumidores até então. Como as falhas precisam de um aplicativo malicioso para serem exploradas, recomendamos o download apenas de apps de fontes confiáveis, como a App Store". Os sistemas relacionados ao Apple Watch estão imunes às falhas.

Adiantada, a maçã tranquilizou seus clientes dizendo que as versões para o iOS 11.2, macOS 10.13.1 e tvOS 11.1 já contém correções para o Meltdown. Quanto ao Spectre, ficou prometida uma correção específica, que está em desenvolvimento.

Além de ficar de olho nas atualizações que serão lançadas, como as que estão prometidas para os próximos dias para correção dos bugs no navegador Safari, iOS, macOS e tvOS, é importante não procrastinar as atualizações que já foram lançadas anteriormente, não utilizar jailbreaks para desbloquear seus dispositivos, baixar aplicativos apenas diretamente da App Store e, claro, não sair clicando em links desconhecidos, mesmo se eles prometerem hamburguer grátis.

Android

De acordo com o Google, os usuários que utilizam a versão mais recente lançada hoje (5) já estão protegidos. Para alguns dispositivos que rodam com sistema operacional Android, talvez seja necessário esperar por updates publicados pelos respectivos fabricantes.

Distribuições Linux

Os desenvolvedores Linux também criaram patches para o kernel do pingüim, como as versões 4.14.11; 4.9.74; 4.4.109; 3.16.52; 3.18.91 e 3.2.97. Todas as atualizações podem ser baixadas aqui.

Agora cabe à Intel se apressar com o envio de uma atualização adicional para a proteção do hardware em todas as máquinas comprometidas. Isso deve ocorrer em breve, por meio das fabricantes de equipamento original (OEMs), pois são elas que liberam os patches necessários para cada componente.

E, no caso de você ter construído seu próprio PC peça por peça, o famoso ciber-frankenstein, será necessário entrar em contato com os fornecedores das peças para ter suporte para as correções.