Já conhece a nova extensão do Tecnoblog? Baixe Agora

Nesta quarta-feira (3), descobrimos que existem duas falhas graves em processadores desenvolvidos nos últimos vinte anos. Pesquisadores de segurança do Google dizem que o Spectre afeta chips da Intel, AMD e ARM; enquanto o Meltdown parece restrito à Intel.

Isso significa que as brechas de segurança estão presentes em laptops, servidores e smartphones — áreas em que o Google atua. Por isso, a empresa detalhou o que está fazendo para mitigar o problema.

Basicamente, o Spectre permite que um aplicativo vaze informações confidenciais para outro aplicativo, quebrando mecanismos de segurança como o sandbox do Google Chrome.

Como explicamos por aqui, o problema está na execução especulativa (speculative execution). Os processadores modernos tentam adivinhar qual código será executado a seguir para acelerar o desempenho. Eles podem ser induzidos a rodar um código que parece “adivinhado”, mas é malicioso.

Enquanto isso, o Meltdown consiste em acessar a memória reservada ao kernel do sistema operacional, que tem permissões maiores. Existe um mecanismo de segurança para evitar isso nos processadores da Intel, mas ele pode ser quebrado.

Para resolver totalmente o Meltdown, seria necessário reprojetar os chips. Por isso, o jeito é agir via software, separando completamente os processos de usuários e a memória do kernel. A técnica se chama KPTI (Kernel Page-Table Isolation), e pode reduzir o desempenho entre 5% e 30%.

Eis o que o Google está fazendo para mitigar o problema via software:

Chrome

O Chrome 64, a ser lançado em 23 de janeiro, terá proteções adicionais para evitar exploits. Versões futuras incluirão mais medidas preventivas, mas o Google avisa que isso “pode levar a uma redução no desempenho”.

Atualmente, o Chrome já possui um recurso para mitigar o Spectre, chamado Full Site Isolation. Ele pode ser ativado no endereço chrome://flags/#enable-site-per-process. Isso funciona no Windows, macOS, Linux e Android; o navegador usa o renderizador da Apple no iOS.

Chrome OS

Dispositivos com Chrome OS receberão as mesmas medidas que o navegador Chrome. Além disso, os laptops com processador Intel “nos kernels 3.18 e 4.4 estão corrigidos com o Kernel Page Table Isolation (KPTI) no Chrome OS 63 e acima”. Os kernels mais antigos serão atualizados em breve.

Segundo o Google, a falha não afeta Chromebooks com processador ARM. Ainda assim, eles “também serão atualizados com o KPTI em uma versão futura”. Esta lista mostra quais dispositivos receberam (ou receberão) o update.

Android

O Google diz que usar as falhas recém-descobertas “mostrou-se difícil e limitado na maioria dos dispositivos Android”.

Ainda assim, o sistema recebeu uma atualização de segurança, distribuído para as fabricantes em dezembro de 2017. Ela “inclui mitigações reduzindo o acesso a temporizadores de alta precisão que limitam ataques em todas as variantes conhecidas em processadores ARM”. Updates futuros virão com mitigações adicionais.

O Google já atualizou o Nexus 5X, Nexus 6P, Pixel C, Pixel/XL e Pixel 2/XL. Quanto aos outros dispositivos Android, aí depende de cada fabricante.

Google Home, Chromecast, Google Wifi, Google OnHub

Esses dispositivos “rodam apenas código confiável do Google e não estão sob risco deste ataque”, diz a empresa.

Serviços do Google, incluindo Google Apps/G Suite

A empresa diz que sua infraestrutura está protegida, incluindo seus serviços — busca, anúncios, YouTube, Maps, G Suite — e “os dados dos clientes armazenados pelo Google”.

Google Cloud

As plataformas Google Cloud “isolam as cargas de trabalho dos clientes umas das outras, e estão protegidas contra ataques conhecidos para as três variantes”. Você pode conferir mais detalhes neste link.

Com informações: Google, Mashable.

Fonte