Meltdown e Spectre: due vulnerabilità mettono a rischio tutti i pc, tablet e smartphone

Meltdown e Spectre: due vulnerabilità mettono a rischio tutti i pc, tablet e smartphone
9 gennaio 2018 kinetica
News

Lo sai che il microprocessore dei tuoi dispositivi, che siano PC, Mac, tablet o smartphone, è affetto da gravi vulnerabilità?

L’allarme è degli ultimi giorni, ma riguarda un problema che esiste da 20 anni, cioè da quando sono stati progettati i microprocessori Intel, AMD e ARM.

Le pericolose vulnerabilità si chiamano Meltdown e Spectre e sono causate da un difetto strutturale nella costruzione dei microprocessori.

Meltdown

Meltdown deriva da un errore di progettazione della memoria virtuale, rendendo così vulnerabile ad eventuali attacchi di hacker la memoria dedicata al kernel, contenente dati come password, nomi di login, file di cache del disco e altro.

Il bug Meltdown è risolvibile via software e già Linux, Windows e macOS stanno per lanciare un aggiornamento che riduca il problema. L’effetto collaterale però pare essere una diminuzione delle prestazioni della macchina, ipotizzata fra il 5% ed il 30%.

Spectre

Spectre è molto simile a Meltdown ma è un bug ancora più grave poiché non è risolvibile via software.

Spectre infatti non coinvolge solo la memoria kernel, ma tutti i processi di esecuzione sfruttando l’out of order execution, cioè il processo secondo il quale il processore fa delle “scommesse” sul codice che dovrà eseguire per tenere le pipeline sempre piena.

Fino ad ora si pensava che anche se il processore sbagliava la “scommessa”, ed eseguiva istruzioni sbagliate, non ci fosse alcun impatto negativo, ma si considerava solo la prestazione e non la sicurezza. Su di una “scommessa” sbagliata infatti non vengono eseguiti i controlli di sicurezza necessari sul codice.

Ciò rende vulnerabili anche i processi che eseguono codice non sempre controllato come i browser: così ad esempio uno script in Java potrebbe accedere ai cookie di login di altri siti e così via, creando grossi problemi.

Come risolvere il problema?

Purtroppo ancora non esiste una soluzione definitiva e Intel, AMD e ARM stanno cercando di arrivare alla radice del problema. L’unico modo sarebbe cambiare alla base l’architettura dei microprocessori, ma ciò non è attuabile sui miliardi di dispositivi già in uso.

Così per ora le maggiori aziende di software stanno proponendo dei modi per ridurre la pericolosità dei due bug, diminuendo la possibilità di pericolosi attacchi.

Microsoft ha rilasciato un aggiornamento di sicurezza per tutti i PC con Windows 10, Windows 8.1 e Windows 7. Il consiglio è quello di controllare sul vostro PC che siano stati scaricati gli ultimissimi aggiornamenti.

Per quanto riguarda i telefoni Android Google sta rilasciando un aggiornamento del sistema operativo per aumentare la protezione dei propri dispositivi. Per ora l’aggiornamento partirà dai telefoni realizzati direttamente da Google, mentre per gli altri smartphone con dispositivo Android si dovrà attendere che sia direttamente il costruttore a raccogliere le modifiche e lanciarle sui propri dispositivi.

Il consiglio è di evitare di installare app provenienti da fonti poco chiare e, in caso di dubbi, di rivolgersi direttamente al produttore del proprio smartphone.

Anche la Apple ha rilasciato aggiornamenti per iOS 11.2, macOS 10.13.2 e tvOS 11.2 per proteggere Mac, iPhone e iPad da Meltdown e, nelle ultime ore, nuovi update per occuparsi della più ostica vulnerabilità Spectre. Anche qui il consiglio è quello di controllare gli ultimi aggiornamenti sui vostri PC, smartphone e tablet.

Kinetica è il vostro partner per la sicurezza informatica

Kinetica può monitorare ed eseguire gli aggiornamenti, assistervi nella gestione delle problematiche e dare assistenza sulle configurazione. Contattateci per un preventivo senza impegno. 

Contatti

Per maggiori informazioni contattateci ai nostri abituali recapiti o mandate una mail a preventivi@kinetica.it.

Se ti piace l'articolo, metti un like!

Modulo contatti

Tutti i campi sono obbligatori.

captcha


Accetto l’informativa privacy policy*.