Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidades - Meldown e Spectre

tipo Vulnerabilidades
Sistemas afetadosMeltdown - Processadores Intel (todos os processadores Intel desde 1995, excepto Intel Itanium e Intel Atom antes de 2013) e Arm. Spectre - Processadores Intel, Arm e AMD
Ecossistema Windows, Mac OS, Linux, Outro

Descrição

Foram descobertas duas vulnerabilidades (Meltdown e Spectre) que ao serem exploradas por aplicações maliciosas, permitem o roubo de dados guardados em memória de outros programas que se encontrem a correr, como por exemplo, passwords guardadas no gestor de passwords, emails, documentos, entre outros.
Estas vulnerabilidades podem ser exploradas em computadores pessoais, equipamentos móveis ou em ambientes cloud. No caso dos ambientes cloud, dependendo da infraestrutura do fornecedor, pode ser possível roubar dados de outros clientes.
A exploração destas vulnerabilidades é de difícil deteção, visto que não deixa registos no logs tradicionais.

impacto

A exploração destas vulnerabilidades podem permitir que um atacante obtenha informação sensível.

Resolução

Aconselhamos o contacto com os fornecedores de Sistema Operativo para ter acesso à informação mais recente.
Devido à vulnerabilidade encontrar-se na arquitetura do CPU, e não no software, a atualização pode não resolver totalmente estas vulnerabilidades em todos os casos.

No caso da Intel foi lançada uma ferramenta de deteção das vulnerabilidades em questão:
https://downloadcenter.intel.com/download/26755/INTEL-SA-00075-Detection-and-Mitigation-Tool

Seguem os links das medidas de mitigação para cada um dos vendedores:


Amazon - https://aws.amazon.com/pt/security/security-bulletins/AWS-2018-013/


AMD - https://www.amd.com/en/corporate/speculative-execution


Android - https://source.android.com/security/bulletin/2018-01-01


Apple (não oficial) -
https://www.macrumors.com/2018/01/03/intel-design-flaw-fixed-macos-10-13-2/
ARM - https://developer.arm.com/support/security-update


CentOS
https://lists.centos.org/pipermail/centos-announce/2018-January/date.html
Chromium - https://www.chromium.org/Home/chromium-security/ssca
Citrix - https://support.citrix.com/article/CTX231399
F5 - https://support.f5.com/csp/article/K91229003

Google
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

Huawei
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en

IBM
https://exchange.xforce.ibmcloud.com/collection/Central-Processor-Unit-CPU-Architectural-Design-Flaws-c422fb7c4f08a679812cf1190db15441

Intel
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
Lenovo - https://support.lenovo.com/pt/pt/solutions/len-18282
Linux - https://lkml.org/lkml/2017/12/4/709

Microsoft Azure
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

Microsoft Windows
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
NVIDIA - http://nvidia.custhelp.com/app/answers/detail/a_id/4609

OpenSuSE
https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html

Red Hat
https://access.redhat.com/security/security-updates/#/security-advisories?q=&p=1&sort=portal_publication_date%20desc&rows=10&documentKind=PortalProduct

SuSE
http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html

Trend Micro
https://success.trendmicro.com/solution/1119183-important-information-for-trend-micro-solutions-and-microsoft-january-2018-security-updates
VMware - https://www.vmware.com/security/advisories/VMSA-2018-0002.html
Xen - http://xenbits.xen.org/xsa/advisory-254.html

Após a mitigação é referido em algumas fontes que poderá ser sentida uma degradação na performance da máquina, especialmente em casos de grande acesso a storage, rede ou caso sejam feitas muitas chamadas ao kernel.

Novas medidas de mitigação para Meltdown e/ou Spectre serão comunicadas quando disponíveis.

Referências

CVE-Mitre:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754

SpectreAttack.com:
https://spectreattack.com/
https://meltdownattack.com/

The Register:
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/