Alerta CAIS/RNP - Vulnerabilidade crítica em processadores de diversos fabricantes
Colaboração: Rubens Queiroz de Almeida
Data de Publicação: 15 de janeiro de 2018
O Centro de Atendimento a Incidentes de Seguranca (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP), emitiu um alerta relativo às vulnerabilidades encontradas em processadores de diversos fabricantes. Este alerta, reproduzido a seguir, contém links para documentos que podem ajudar a tratar o problema bem como artigos com mais informações sobre as vulnerabilidades.
Agradeço ao Vanderlei Busnardo, do Centro de Computação da Unicamp, pela informação.
CAIS-ALERTA [04/01/2018]: Vulnerabilidade crítica em processadores de diversos fabricantes
Prezados,
O CAIS alerta para vulnerabilidades críticas envolvendo diversas linhas de processadores de vários fabricantes, tais como Intel, AMD e ARM.
DESCRIÇÃO
Vulnerabilidades existentes nas funções de manipulação de dados e memória dos processadores podem permitir o vazamento de informações e/ou execução arbitrária de códigos.
De forma geral, uma aplicação não pode acessar dados de outras aplicações em execução dentro de um mesmo ambiente, porém, programas maliciosos podem explorar falhas nas funções dos processadores e assim obter dados contidos na memória referentes a outros programas em execução.
SISTEMAS AFETADOS
Segundo os pesquisadores responsáveis pela descoberta, grande parte dos processadores modernos produzidos nas últimas décadas são impactados.
CORREÇÕES DISPONÍVEIS
Até o momento, apenas mitigações em nível de software foram disponibilizadas por diversos desenvolvedores. Sendo assim, elencamos as soluções disponíveis de alguns dos principais desenvolvedores de sistemas do mercado:
- Linux Fundation
- Windows Server guidance to protect against speculative execution side-channel vulnerabilities
- Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
- Red Hat Product Errata RHSA-2018:0010 - Security Advisory
- SUSE Blog
- VMware Security & Compliance Blog
- Xen Security Advisory
IDENTIFICADORES CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
MAIS INFORMAÇÕES
- Meltdown and Spectre
- CERT
- MeioBit
- Intel News Byte - Intel Respond to security research findings
- AMD Processor Security
- ARM Processor Security Update
- Microsoft Azure
- Amazon AWS
- Google Cloud
- BleepingComputer
- AppleInsider
- CVE MITRE
- Qualys Blog
- The Register
- Security Affairs
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também são oferecidos no Twitter:
Siga @redernp @caisrnp
Atenciosamente,
CAIS/RNP
CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)
Rede Nacional de Ensino e Pesquisa (RNP)
cais em cais.rnp.br http://www.rnp.br/servicos/seguranca
Tel. 019-37873300
Fax. 019-37873301
Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key