<p>Essas falhas, chamadas de Spectre e Meltdown, comprometem bilhões de aparelhos, incluindo serviços na nuvem de gigantes como Apple, Google, Amazon e Microsoft. As empresas fabricantes de chips estão trabalhando em conjunto para enfrentar o problema.<br /><br />Na análise de Frederik Mennes, gerente sênior de Marketing e de Estratégia de Segurança da Vasco Data Security, “essas vulnerabilidades permitem que programas maliciosos leiam a memória do computador, dando acesso efetivo a dados sensíveis dos usuários como senhas, chaves criptografadas e informações bancárias, entre outros. Diversos servidores hospedando serviços na nuvem também estão igualmente vulneráveis a essas falhas. Os usuários devem baixar as correções liberadas para os seus aparelhos assim que possível e também devem ter cautelas adicionais quando baixarem softwares de fontes desconhecidas ou suspeitas”. <br /><br />Seguem os detalhes das duas vulnerabilidades:</p>
<ul>
<li>Spectre
<ul>
<li>Descrição:
<ul>
<li>Quebra o isolamento da memória entre as diferentes aplicações</li>
</ul>
</li>
<li>Ameaças:
<ul>
<li>Amplo Impacto: a aplicação pode acessar a memória RAM a partir de outras aplicações</li>
</ul>
</li>
<li>Abrange: processadores da Intel, ARM e AMD</li>
<li>Solução:
<ul>
<li>Software de correção para ocorrências específicas</li>
</ul>
</li>
<li>Descoberto de forma independente por dois times de pesquisa:
<ul>
<li>Google Project Zero</li>
<li>Paul Kocher e outros pesquisadores</li>
</ul>
</li>
</ul>
</li>
</ul>
<ul>
<li>Meltdown
<ul>
<li>Descrição:
<ul>
<li>Normalmente os processadores Intel x86 fazem a separação entre o programa central do Sistema Operacional e as aplicações do usuário</li>
<li>Meltdown permite que o programa malicioso leia arbitrariamente a memória do programa central (kernel)</li>
<li>Afeta computadores de mesa, laptops, servidores na nuvem e smartphones</li>
</ul>
</li>
</ul>
</li>
<li>Ameaças:
<ul>
<li>Amplo Impacto: o programa malicioso pode ler dados sensíveis usados por outras aplicações tais como:
<ul>
<li>Senhas de acesso</li>
<li>Chaves criptografadas</li>
<li>Informações bancárias (por exemplo detalhes de cartões de crédito)</li>
<li>Documentos<br /> </li>
</ul>
</li>
</ul>
</li>
<li>Probabilidade de Ocorrência:
<ul>
<li>Para usuários finais: o programa malicioso precisa estar presente no dispositivo do usuário. O acesso a dados úteis não é feito diretamente já que não pode ser usado para acessar um amplo número de usuários</li>
</ul>
</li>
<li> Para as empresas: Pode ser usado para ataques dirigidos contra empresas específicas<br /> </li>
<li>Abrange:
<ul>
<li>Intel
<ul>
<li>Praticamente todos os processadores desde 1995 podem ser impactados, com exceção dos processadores Atom e Itanium lançados antes de 2013.</li>
<li>Meltdown pode atingir os processadores Intel lançados desde 2010.</li>
</ul>
</li>
<li>AMD: impacto não claro</li>
<li>ARM: apenas um processador impactado</li>
<li>Android: correções disponíveis</li>
<li>Apple: correções disponíveis</li>
<li>Linux: correções disponíveis</li>
<li>Microsoft: lançou correções para Windows, IE, Edge, SQL server 3/1, e também atualizou nuvem e tablets</li>
<li>Soluções de Contenção (como Docker, LXC, OpenVZ) foram impactadas</li>
<li>Maquinas totalmente virtuais: não impactadas<br /> </li>
</ul>
</li>
<li>Solução:
<ul>
<li>Usuários devem ser cautelosos quando instalarem software de fontes suspeitas ou desconhecidas</li>
<li>Devem baixar software de correção</li>
<li>Essas correções podem impactar na performance, mas os usuários comuns provavelmente não deverão notar isso<br /> </li>
</ul>
</li>
<li>Descoberto de forma independente por três times:
<ul>
<li>Google Project Zero</li>
<li>Cyberus Technology</li>
<li>Universidade de Tecnologia de Graz, na Áustria.</li>
</ul>
</li>
</ul>
<p style=”color: #333333; font-family: Tahoma, Helvetica, Arial, sans-serif; font-size: 12.16px; text-align: justify;”><em><span style=”font-family: ‘Trebuchet MS’, sans-serif;”>(*) Gerente sênior de Marketing e de Estratégia de Segurança da Vasco Data Security.</span></em></p>
