Início » Segurança » As atualizações do Google Chrome e Android para a falha de segurança em processadores

As atualizações do Google Chrome e Android para a falha de segurança em processadores

Por
04/01/2018 às 10h04
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Nesta quarta-feira (3), descobrimos que existem duas falhas graves em processadores desenvolvidos nos últimos vinte anos. Pesquisadores de segurança do Google dizem que o Spectre afeta chips da Intel, AMD e ARM; enquanto o Meltdown parece restrito à Intel.

Isso significa que as brechas de segurança estão presentes em laptops, servidores e smartphones — áreas em que o Google atua. Por isso, a empresa detalhou o que está fazendo para mitigar o problema.

Foto por Kārlis Dambrāns/Flickr

Basicamente, o Spectre permite que um aplicativo vaze informações confidenciais para outro aplicativo, quebrando mecanismos de segurança como o sandbox do Google Chrome.

Como explicamos por aqui, o problema está na execução especulativa (speculative execution). Os processadores modernos tentam adivinhar qual código será executado a seguir para acelerar o desempenho. Eles podem ser induzidos a rodar um código que parece “adivinhado”, mas é malicioso.

Enquanto isso, o Meltdown consiste em acessar a memória reservada ao kernel do sistema operacional, que tem permissões maiores. Existe um mecanismo de segurança para evitar isso nos processadores da Intel, mas ele pode ser quebrado.

Para resolver totalmente o Meltdown, seria necessário reprojetar os chips. Por isso, o jeito é agir via software, separando completamente os processos de usuários e a memória do kernel. A técnica se chama KPTI (Kernel Page-Table Isolation), e pode reduzir o desempenho entre 5% e 30%.

Eis o que o Google está fazendo para mitigar o problema via software:

Chrome

O Chrome 64, a ser lançado em 23 de janeiro, terá proteções adicionais para evitar exploits. Versões futuras incluirão mais medidas preventivas, mas o Google avisa que isso “pode levar a uma redução no desempenho”.

Atualmente, o Chrome já possui um recurso para mitigar o Spectre, chamado Full Site Isolation. Ele pode ser ativado no endereço chrome://flags/#enable-site-per-process. Isso funciona no Windows, macOS, Linux e Android; o navegador usa o renderizador da Apple no iOS.

Chrome OS

Dispositivos com Chrome OS receberão as mesmas medidas que o navegador Chrome. Além disso, os laptops com processador Intel “nos kernels 3.18 e 4.4 estão corrigidos com o Kernel Page Table Isolation (KPTI) no Chrome OS 63 e acima”. Os kernels mais antigos serão atualizados em breve.

Segundo o Google, a falha não afeta Chromebooks com processador ARM. Ainda assim, eles “também serão atualizados com o KPTI em uma versão futura”. Esta lista mostra quais dispositivos receberam (ou receberão) o update.

Android

O Google diz que usar as falhas recém-descobertas “mostrou-se difícil e limitado na maioria dos dispositivos Android”.

Ainda assim, o sistema recebeu uma atualização de segurança, distribuído para as fabricantes em dezembro de 2017. Ela “inclui mitigações reduzindo o acesso a temporizadores de alta precisão que limitam ataques em todas as variantes conhecidas em processadores ARM”. Updates futuros virão com mitigações adicionais.

O Google já atualizou o Nexus 5X, Nexus 6P, Pixel C, Pixel/XL e Pixel 2/XL. Quanto aos outros dispositivos Android, aí depende de cada fabricante.

Google Home, Chromecast, Google Wifi, Google OnHub

Esses dispositivos “rodam apenas código confiável do Google e não estão sob risco deste ataque”, diz a empresa.

Serviços do Google, incluindo Google Apps/G Suite

A empresa diz que sua infraestrutura está protegida, incluindo seus serviços — busca, anúncios, YouTube, Maps, G Suite — e “os dados dos clientes armazenados pelo Google”.

Google Cloud

As plataformas Google Cloud “isolam as cargas de trabalho dos clientes umas das outras, e estão protegidas contra ataques conhecidos para as três variantes”. Você pode conferir mais detalhes neste link.

Com informações: Google, Mashable.

  • Edson Veloso Murta Júnior

    Pelo que vi em algumas distros linux o intel microcode atrelado ao kernel já desativa a exploração dessa brecha em conjunto com o OPENJDK.

  • Palhaçada essa parada de depender de operadoras de celular. Atualizações críticas de segurança eram pra ser feitas diretamente pelo Google. Isso deveria estar acima dos nojentos acordos comerciais. Lamentável…

    • Sim. Tinha que fazer a força e se alguma operadora quisesse impedir anunciava publicamente o motivo de não ter atualizado, citando a operadora em questão 🙂

  • Xonão Sem Freio !!!

    Esqueceram de informar na matéria que o xbox one e o ps4 também estão vulneráveis e correndo serio risco !!!

    • A matéria é só sobre serviços e produtos da Google.

    • PinPortal ✔️

      Está TUDO vulnerável, cara.
      Agora que o problema também é em chips ARM, além dos smartphones que não terão update de firmware, temos roteadores, smart tvs, etc.
      Tudo possível e imaginável que tenha um chip ARM embarcado.

      PlayStation e Xbox é o de menos, Sony e Microsoft vão lançar atualizações futuras (creio eu). O problema são os outros dispositivos com ARM que não tem atualização.

    • LuizF

      Switch tbm ;-;

  • Eduardo

    Todo mundo agora vai dar desculpa pra redução de desempenho.

  • Tenente Figueiredo

    A motorola tá soltando atualização hoje.

  • Abraão Caldas

    Só ter atenção que a mitigação do chrome causa uma série de efeitos colaterais… como uso de memória maior, problemas em impressão de páginas, problema de login em site quando usa OAuth via popup, problemas no iframes…
    Eu acho melhor esperar pela correção pelo OS.

  • Flávio De Sant’Ana Barbosa

    Gente, é importante esclarecer que falhas de segurança ocorrem com qualquer hardware e SOs. Existem muitos hackers que são gênios da humanidade, e infelizmente usam sua genialidade para o mal, mas estão muito bem escondidos na deep web. É muito importante o desenvolvimento de patches para tentar resolver o problema, mas isso não impedirá que eles invadam redes e usuários quando for do interesse deles. A mídea está fazendo uma divulgação maciça do problema, mas até agora não tive notícias de alguém que tivesse seus PCs e notebooks danificados, ou suas informações roubadas, ou perda de desempenho por conta da instalaçao dos novos patches, por conta desse evento. Antes a falha existia e avida continuava, portanto muita calma nessa hora!