Meltdown e Spectre: i bug peggiori della CPU riguardano tutti i computer

Meltdown e Spectre: i bug peggiori della CPU riguardano tutti i computer

Meltdown e Spectre: i bug peggiori della CPU riguardano tutti i computer

Tutto, dagli smartphone e PC al cloud computing interessato dai principali difetti di sicurezza riscontrati in Intel e altri processori, e la correzione potrebbe rallentare i dispositivi

Gravi falle nella sicurezza che potrebbero consentire agli aggressori di rubare dati sensibili, incluse password e informazioni bancarie, sono stati trovati in processori progettati da Intel , AMD e ARM.

I difetti, denominati Meltdown e Spectre, sono stati scoperti dai ricercatori di sicurezza del Progetto Zero di Google in collaborazione con ricercatori accademici e del settore provenienti da diversi paesi. Combinati, influenzano praticamente tutti i computer moderni, inclusi smartphone, tablet e PC di tutti i fornitori e utilizzano quasi tutti i sistemi operativi.

Meltdown è “probabilmente uno dei peggiori bug della CPU mai trovato”, ha affermato Daniel Gruss, uno dei ricercatori dell’Università di Tecnologia di Graz che ha scoperto il difetto.

Attualmente si ritiene che Meltdown incida principalmente sui processori Intel prodotti dal 1995, escludendo i processori Itanium e i processori Atom dell’azienda prima del 2013. Potrebbe consentire agli hacker di aggirare la barriera hardware tra le applicazioni eseguite dagli utenti e la memoria principale del computer. La fusione, quindi, richiede una modifica del modo in cui il sistema operativo gestisce la memoria da correggere, le cui previsioni di velocità iniziali prevedono che potrebbero influire sulla velocità della macchina in determinate attività fino al 30%.

Il difetto Spectre colpisce la maggior parte dei processori moderni realizzati da una varietà di produttori, tra cui Intel, AMD e quelli progettati da ARM , e potenzialmente consente agli hacker di ingannare applicazioni altrimenti prive di errori nel dare informazioni segrete. Spectre è più difficile da sfruttare per gli hacker, ma è anche più difficile da risolvere e sarebbe un problema più grande a lungo termine, secondo Gruss.

Intel e ARM hanno insistito sul fatto che il problema non era un difetto di progettazione, anche se richiederà agli utenti di scaricare una patch e aggiornare il loro sistema operativo per la correzione.

“Intel ha iniziato a fornire aggiornamenti software e firmware per mitigare questi exploit”, ha detto Intel in una dichiarazione, negando che le correzioni avrebbero rallentato i computer basati sui chip dell’azienda. “Qualsiasi impatto sulle prestazioni dipende dal carico di lavoro e, per l’utente medio del computer, non dovrebbe essere significativo e verrà mitigato nel tempo.”

Google ha dichiarato di aver informato le aziende interessate del difetto Spectre il 1 ° giugno 2017 e successivamente ha segnalato il difetto Meltdown prima del 28 luglio 2017. Sia Intel che Google hanno annunciato di aver intenzione di rilasciare i dettagli dei difetti il ​​9 gennaio, quando hanno affermato che sarebbero state apportate ulteriori correzioni essere disponibili, ma che la loro mano era stata costretta dopo i primi rapporti, il titolo azionario Intel era sceso del 3,4% mercoledì.

Google e i ricercatori di sicurezza con cui ha lavorato hanno detto che non era noto se gli hacker avessero già sfruttato Meltdown o Spectre e che rilevare tali intrusioni sarebbe stato molto difficile in quanto non avrebbe lasciato tracce nei file di registro.

Dan Guido, amministratore delegato della società di consulenza sulla sicurezza informatica Trail of Bits, ha dichiarato che si aspetta che gli hacker sviluppino rapidamente il codice che possono utilizzare per lanciare attacchi che sfruttano le vulnerabilità. Ha detto: “Gli exploit per questi bug verranno aggiunti agli strumenti standard degli hacker”.

I ricercatori hanno detto che Apple e Microsoft hanno le patch pronte per gli utenti per i computer desktop interessati da Meltdown, mentre una patch è disponibile anche per Linux. Microsoft ha dichiarato che era in procinto di rattoppare i suoi servizi cloud e aveva rilasciato aggiornamenti di sicurezza il 3 gennaio per i clienti Windows.

“Tutti i sistemi Mac e i dispositivi iOS sono interessati, ma al momento non ci sono exploit noti che influenzano i clienti”, ha detto Apple in un post sul blog , in riferimento al fatto che sebbene i difetti di sicurezza consentano di rubare dati utilizzando software dannoso, non c’erano prove che suggerissero che fosse successo.

La società ha consigliato ai clienti di aggiornare i sistemi operativi dei loro dispositivi e di scaricare solo il software da “fonti attendibili come App Store”.

Google ha dichiarato che i dispositivi Android con gli ultimi aggiornamenti di sicurezza sono stati protetti, inclusi i propri dispositivi Nexus e Pixel e che gli utenti dei Chromebook dovrebbero installare gli aggiornamenti.

ARM ha affermato che le patch sono già state condivise con i partner delle società.

AMD ha affermato di ritenere che “al momento i prodotti AMD sono quasi a rischio zero”.

Anche i servizi cloud sono interessati dai problemi di sicurezza. Google ha dichiarato di aver aggiornato G Suite e servizi cloud , ma che potrebbe essere necessaria un’azione aggiuntiva da parte del cliente per il suo Compute Engine e alcuni altri sistemi di piattaforma cloud.

Amazon ha detto che solo una “percentuale a una sola cifra” dei suoi sistemi di Amazon Web Services EC2 era già protetta, ma che “i clienti devono anche applicare patch ai loro sistemi operativi di istanza” per essere completamente protetti.

Non è stato immediatamente chiaro se Intel avrebbe dovuto affrontare qualsiasi significativa responsabilità finanziaria derivante dal difetto segnalato.

“L’attuale problema di Intel, se fosse vero, probabilmente non richiederebbe la sostituzione della CPU a nostro parere. Tuttavia, la situazione è fluida “, ha detto Hans Mosesmann di Rosenblatt Securities a New York in una nota, aggiungendo che potrebbe danneggiare la reputazione dell’azienda.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat