Intel minimiza impacto do bug para utilizadores domésticos

A Intel diz que as correcções para a vulnerabilidade no CPU, disponíveis na próxima semana, terão um impacto insignificante para o utilizador médio. Considerou o bug um problema transversal à indústria.

A Intel explicou que a vulnerabilidade do kernel do CPU, revelada esta quarta-feira, é um “side channel analysis exploit”, isto é, uma vulnerabilidade que permite a leitura ou medição de eventos ou propriedades físicas dos sistemas. Os executivos do fabricante esperam que as correcções para solucionar o problema comecem a ser disponibilizadas nas próximas semanas. O impacto das correcções no desempenho poderá ser elevado em alguns casos (até 30%), mas para os utilizadores médios o impacto deverá ser  reduzido.

O fabricante, cujos processadores foram alvo de uma análise no The Register, diz que a ARM e a AMD, bem como vários fabricantes de sistemas operativos, foram notificados da vulnerabilidade. A falha foi descoberta inicialmente pela equipa de segurança  Project Zero, da Google, disse a Intel em teleconferência , informação que foi confirmada pela Google. Para identificar a vulnerabilidade, estão a ser utilizados os nomes Spectre e Meltdown.

Para identificar a vulnerabilidade, estão a ser utilizados os nomes Spectre e Meltdown.

O fabricante de processadores adiantou que irá lançar as suas próprias actualizações (micro-código) para dar resposta ao problema e, ao longo do tempo, algumas dessas correcções  serão incluídas no hardware.

Durante a conferência de imprensa, a Microsoft declinou comentar como irá proceder, embora seja expectável que lance as suas próprias correcções em breve. A Google também emitiu um comunicado que explica como podem os seus produtos ser afectados. Isto inclui o smartphones Chrome e Android, embora dependa da velocidade a que os fabricantes dos dispositivos façam as actualizações.

O que significa?

Neste momento sabemos que os principais fabricantes de processadores e sistemas operativos estão a par do problema e que estão a trabalhar no lançamento de correcções. A primeira deverá estar incluída no pacote de correcções da Microsoft da próxima terça-feira, ou até antes. O que não é claro é como é que diferentes tipos de software e arquitecturas de processamento serão afectados pelas correcções e até que ponto (ou se) o desempenho dos PC será afectado como resultado. É uma questão muito complicada, pelo que criámos um conjunto de perguntas frequentes (Intel CPU kernel bug FAQ) que dão resposta a tudo o que sabemos até ao momento.

 O que é um “side-channel analysis exploit”?

São vulnerabilidades que permitem ataques feitos a partir da leitura ou medição de eventos ou propriedades físicas dos sistemas

Segundo a Intel, a vulnerabilidade permite ao atacante observar os conteúdos de memória privilegiada, explorando uma técnica de CPU chamada “speculative execution” para contornar os níveis de privilégios esperados. Pode dar ao atacante acesso a dados que normalmente não chegariam, embora a Intel assegure que não é possível apagar ou modificar os dados.

De facto, a Intel e os analistas identificaram três variantes (“bounds check bypass”, “branch target injection”, e um “rogue data load”) que utilizam métodos de ataque ligeiramente diferentes. A actualização dos sistemas operativos mitigou o problema.

Steve Smith, um dos responsáveis pela engenharia na Intel, que falou sobre as descobertas da empresa, acrescentou que não foram descobertos ataques que tirem partido da vulnerabilidade. Também negou as informações que referem que a vulnerabilidade era uma falha ou que era especificamente da Intel. “O processador está de facto a funcionar como o desenhamos”, explicou Smith aos investidores. A descoberta levou a que os fabricantes de hardware em todo o mundo dessem resposta à vulnerabilidade de uma forma “responsável”.

Este é um problema transversal à indústria

As empresas pretendam revelar o problema na próxima semana, quando as correcções estivessem disponíveis. A Intel explicou que antecipou a divulgação de um comunicado devido às “notícias imprecisas divulgadas pelos media”, embora nada no comunicado contradiga essas notícias. Em seguida promoveu uma teleconferência.

“A Intel e outras empresas tecnológicas estão a par da nova análise de segurança que descreve métodos de análise de software que, quando utilizados para fins maliciosos, tem o potencial de recolher dados sensíveis a partir de dispositivos computacionais que estão a funcionar como desenhados”, explica a Intel. “A Intel acredita que essas vulnerabilidades não têm o potencial de corromper, modificar ou apagar dados.

A Intel assegura que a vulnerabilidade afecta também outras arquitecturas além da sua, nomeadamente da AMD (que negou que os seus processadores sejam afectados), da ARM Holdings, a arquitectura no núcleo da maioria dos processadores de smartphones, bem como de outras empresas cujos produtos são “susceptíveis” a estas vulnerabilidades, bem como fabricantes de sistemas operativos.

“Estamos a par desta questão que abrange transversalmente a indústria e estamos a trabalhar com fabricantes de processadores para desenvolver e testar formas de mitigar o problema e proteger os nossos clientes”, disse um porta-voz da Microsoft por email. “Estamos num processo de disponibilização de mitigações nos serviços cloud e também lançámos actualizações de segurança para proteger os utilizadores Windows das vulnerabilidades que afectam processadores da Intel, da ARM e da AMD”.

A AMD negou que os seus processadores estejam afectados, referindo que existem um “risco próximo de zero” para os processadores AMD neste momento. A empresa também apresentou a sua resposta às três variantes da vulnerabilidade num gráfico.

 

A intel procurou explicar porque não tinha ainda revelado a vulnerabilidade, assinalando que estava perto de o fazer, quando a notícia surgiu. “A intel tem um compromisso com as boas práticas da indústria de fazer uma divulgação responsável de potenciais questões de segurança, motivo pelo qual, a Intel, e outros fabricantes, tinham planeado revelar a questão na próxima semana, quando estivessem disponíveis mais actualizações de software e firmware”, sublinhou a Intel.

A Google também revelou que o browser Chrome também é afectado, embora já exista uma cura de dois passos. Primeiro: assegurar-se que o browser está actualizado para a versão 63. Em segundo lugar, uma funcionalidade opcional (“Site Isolation”) pode ser activada para mitigar o problema através do isolamento de sites em espaços de endereço diferentes. Esta funcionalidade é opcional pode ser activada em chrome://flags/#enable-site-per-process, Finalmente, o Chrome 64, que será lançado a 23 de Janeiro, vai proteger os utilizadores contra do “side-channel exploit”, assinala a Google.

O que pode fazer entretanto?

O conselho da Intel é seguir a regra de bom senso habitual: corrigir, corrigir, corrigir. “Verifique junto do fabricante ou fornecedor do seus sistema operativo e aplique qualquer actualização disponível assim que disponível”, refere a empresa. “Seguir as boas práticas de segurança que o protegem de malware em geral também o vão ajudar a proteger-se contra possíveis falhas enquanto as actualizações não estão disponíveis.

 Consulte o artigo completo na PC World (em inglês), no qual é analisada o possível impacto no desempenho dos computadores 




Deixe um comentário

O seu email não será publicado