Falhas graves são encontradas em processadores Intel

Duas vulnerabilidades graves foram descobertas nos chips Intel e ambas podem permitir que cibercriminosos obtenham informações confidenciais de programas por meio do acesso à memória central. A primeira, Meltdown, pode remover efetivamente a barreira entre as aplicações para usuários e as partes sensíveis do sistema operacional. A segunda, Spectre, também encontrada em chips AMD e ARM, pode enganar funcionalidades vulneráveis, fazendo-as vazar conteúdos da sua memória.

Os programas instalados em um dispositivo normalmente são executados no “modo de usuário”, longe das partes mais sensíveis do sistema operacional. Se algum destes precisa acessar uma área sensível, como um disco subjacente, rede ou unidade de processamento, precisa pedir permissão para utilizar o “modo protegido”. No caso do Meltdown, um hacker pode acessar o modo protegido e a memória central sem solicitá-la, removendo efetivamente essa barreira – e potencialmente, permitindo roubar dados da memória de programas que estejam em execução, como dados de gerenciadores de senhas, navegadores, e-mails, fotos e documentos.

Em termos práticos, isso significa que a memória arbitrária pode ser lida usando o Meltdown, o que pode incluir senhas, chaves de criptografia, logins, informações de cartões de crédito e muito mais. Por outro lado, com o Spectre, a memória de um programa (vulnerável) pode ser lida. Então, por exemplo, se você visita um site, o código JavaScript nele pode ler os logins e senhas que estão armazenados na memória do navegador.

O Meltdown e o Spectre são falhas de hardware, então corrigi-las não é tão fácil. Patches contra o Meltdown já foram lançados pela Linux, Windows e MacOS, mas as empresas ainda estão trabalhando para melhorar a resistência contra o Spectre.

Enquanto isso, é muito importante, como sempre, instalar as últimas atualizações de segurança, já que não vai demorar muito até que os malfeitores comecem a explorar essas vulnerabilidades – o código de amostra já foi publicado.