Fabricantes de browsers criam barreiras para evitar ataques via Spectre

Os principais fabricantes de broswers, preocupados comas vulnerabilidades Meltdown e Spectre, estão a actualizar os seus produtos para procurar evitar ataques.

Depois do pânico gerado em torno das vulnerabilidades Spectre e Meltdown reveladas a semana passada que afectam a generalidade dos micro-processadores a nível mundial, e que eram até agora desconhecidas, a generalidade dos browsers está a actualizar os seus produtos, na esperança de conseguir evitar possíveis ataques a partir da Web.

As vulnerabilidades, que afectam processadores desenhados pela Intel, AMD e ARM, foram inicialmente identificadas por membros da equipa Project Zero e deveriam ser reveladas esta semana (a 9 de Janeiro), altura em que seriam também disponibilizadas actualizações do Browser da Google, em simultâneo com a actualização mensal do software da empres.

Teve também lugar um esforço coordenado de vários fabricantes de sistemas operativos com os fabricantes de micro-processadores que teria também como resultado a disponibilização de correcções para proteger tanto quanto possível sem necessidade de substituir o CPU propriamente dito (medidas concertadas para reagir ao Meltdown e ao Spectre). O plano caiu pelas bases com a divulgação do problema a semana passada.

As correcções mais importantes já foram distribuídas pelos fabricantes de microchips e sistemas operativos, mas s browsers também estão a ser actualizados. Em causa está a possibilidade de os criminosos tirarem partido da vulnerabilidade Spectre, utilizando ataques com código JavaScript publicado em sítios comprometidos ou geridos por hackers.

De acordo com um grupo de analistas académicos independentes, “os ataques Spectre podem também ser utilizados para violar os browsers através de código JavaScript”. Os analistas também delinearam uma prova de conceito que demonstra de que modo é que os atacantes poderiam utilizar o JavaScript para ler o espaço de endereços dos processos do Chrome – por outras palavras, abrir uma nova “tab” – para recolher credenciais de sites acabados de visitar.

Alguns dos maiores fabricantes de browsers já criaram e distribuíram actualizações desenhadas para proteger as aplicações – e os dados nos dispositivos – de possíveis ataques Spectre.

Já há informação disponível relativa ao Google Chrome, Internet Explorer e Edge, Firefox da Mozzila e Safari da Apple. A IDG está a actualizar esta informação sempre que se justifique. Consulte o artigo detalhado do Computerworld, nos EUA.

A Apple já publicou esclarecimentos sobre o modo como as vulnerabilidades podem afectar os seus sistemas. Consulte o artigo da Macworld, com mais detalhes.

Em Portugal, o Centro Nacional de Cibersegurança já emitiu um alerta, cujos detalhes podem ser consultados neste endereço.




Deixe um comentário

O seu email não será publicado