Meltdown e Spectre: le vulnerabilità che minacciano PC, smartphone e non solo. Cosa sono e come difendersi.

Nicola Ligas -

Abbiamo già visto nella giornata di ieri che i processori Intel “dell’ultimo decennio” sono afflitti da un grave bug di sicurezza. A quanto pare il problema è molto più esteso di come si pensasse inizialmente, e rischia di coinvolgere non solo PC e server, ma anche smartphone ed altri dispositivi basati sui chip di Intel, AMD ed ARM. Se avete insomma un device “smart”, ci sono buone probabilità che possa esserne afflitto.

Cosa sono Meltdown e Spectre

Meltdown e Spectre sono i nomi delle due vulnerabilità in oggetto, scoperte, tra gli altri, dai ricercatori di Google Project Zero, un team addetto proprio alla ricerca di potenziali pericoli di questo tipo.

Un attacco che sfrutti un exploit di Meltdown consente ad un programma di accedere alla memoria (ovvero ai dati) di altri programmi e/o del sistema operativo stesso. Spectre ha conseguenze simili, ma metodologie diverse, ed in pratica ingannare altre applicazioni, anche (e soprattutto) quelle prive di errori, per poter comunque accedere ai loro dati.

Tali attacchi possono essere condotti da una semplice pagina web malevola, come confermato indipendentemente anche da Mozilla (ma ribadiamo che la radice del problema non sta nel browser). Questo significa che, a seconda dell’applicazione coinvolta, qualsiasi dato è a rischio: password, dati di navigazione, email, foto, video, chat. Tutto ciò a cui le applicazioni installate hanno accesso, è potenzialmente minacciato.

Quali processori sono minacciati

Spectre è più difficile da sfruttare di Meltdown, ma è anche più difficile da mitigare, visto che è questo il bug che coinvolge la maggior parte dei moderni processori, mentre Meltdown dovrebbe essere ristretto ai soli chip Intel.

In realtà è in corso un po’ un rimpallo di responsabilità tra le varie aziende. Intel rifiuta di riconoscere che sia un suo difetto esclusivo, e chiama in causa anche ARM ed AMD. Quest’ultima si proclama invece innocente, cosa sulla quale sia Project Zero che Microsoft dissentono, confermando il coinvolgimento sia di AMD che di ARM.

ARM ha invece riconosciuto il problema, anche se ne ha sminuito la gravità in relazione ai suoi chip. In un dettagliato post l’azienda ha anche elencato quali sono i processori minacciati e da quali varianti. Possiamo quindi con ragionevole certezza affermare che il problema è generale, e che “nessuno è al sicuro”, anche se in realtà quest’ultima parte non è vera, nel senso che le varie aziende si sono già mosse per mitigare i possibili rischi.

Tutti i dispositivi Chrome OS minacciati, con il rispettivo stato delle patch, li potete trovare elencati in questa pagina ufficiale, davvero molto completa.

Anche le GPU NVIDIA sono colpite. In un post ufficiale l’azienda ha dettagliato i modelli interessati ed il numero di versione delle rispettive patch che correggono la falla, che in buona parte sono già state rilasciate.

Come proteggersi

Google afferma che gli smartphone Android con gli ultimi aggiornamenti di sicurezza sono protetti. Allo stesso modo le Google Apps, Google App Engine ed altri device come Google Home e Chromecast sono già sicuri. Google aggiunge però che abilitare l’isolamento dei siti sarebbe buona pratica, e che il prossimo rilascio di Chrome 64 mitigherà ulteriormente le cose.

Microsoft ha già rilasciato in data 3 gennaio un aggiornamento di sicurezza per correggere il problema sui sistemi Windows, e la stessa cosa vale per i server Azure. Sembra però esserci qualche possibile problema con i software antivirus, tanto che se l’aggiornamento non dovesse ancora essere arrivato, la colpa potrebbe essere proprio di detto software. Sono previsti anche aggiornamenti separati per Edge ed Internet Explorer, sempre al fine di mitigare possibili attacchi.

Apple ha confermato che tutti i suoi device sono potenzialmente minacciati, sia i MacBook che iPhone ed iPad. Apple ha anche chiarito che iOS 11.2, macOS 10.13.2, e tvOS 11.2 mitigano già il problema, raccomandando ai suoi utenti di installare sempre software da fonti fidate.

AMD, dopo aver inizialmente parlato di “rischio quasi zero” per i suoi processori, ha comunque provveduto a rilasciare aggiornamenti per Spectre (Meltdown sembra davvero non riguardarla). In compenso le GPU AMD dovrebbero essere del tutto immuni, perché “non usano la speculative execution e quindi non sono suscettibili a queste minacce”.

Intel afferma che entro metà gennaio 2018 il 90% dei processori degli ultimi 5 anni saranno immuni ad entrambi gli exploit, grazie ad un prossimo aggiornamento. Tutti i processori Intel dovrebbero essere potenzialmente minacciati, anche quelli più recenti.

Ubuntu promette un fix entro il 9 gennaio.

La risposta alla domanda “come proteggersi” è insomma una sola: aggiornare il proprio sistema operativo all’ultima versione. Considerando poi che il web è un facile veicolo di minacce, come evidenziato in precedenze, vi raccomandiamo maggiore attenzione alle pagine internet che visitate; un consiglio che del resto è valido in ogni occasione.

Trattandosi comunque di un problema hardware così generalizzato, le patch via software possono prevenire gli exploit in questione, ma non vanno ad arginare del tutto la falla, che può essere rimossa davvero solo con una sostituzione dell’hardware stesso. Per questo motivo, in particolar modo a livello cloud, ci “porteremo dietro” Meltdown e (soprattutto) Spectre per anni.

La patch causa un calo di performance?

Quando Meltdown e Spectre sono divenuti noti al grande pubblico (anche se al momento non li conoscevamo come tali), uno dei problemi sembrava essere il calo di performance che il fix per queste vulnerabilità avrebbe causato. Mentre il reale impatto delle patch è ancora tutto da valutare, anche perché stanno iniziando a diffondersi solo in questi giorni, non è affatto da escludere che successivi affinamenti di dette patch possano migliorare le cose

Intel afferma che l’impatto sia molto dipendente dal carico e dal tipo di lavoro, ma che per l’utente medio non ci dovrebbero essere conseguenze troppo negative. L’impatto potrebbe essere più alto inizialmente, ma i successivi aggiornamenti del software dovrebbero mitigarlo. Gli fa eco Google, secondo il quale “con la maggior parte dei carichi di lavoro, inclusa la nostra infrastruttura cloud, abbiamo rilevato un impatto trascurabile sulle performance”. Apple afferma invece che non ci sono impatti sui suoi dispositivi.

La seguente tabella, pubblicata da Intel, chiarisce meglio la portata dell’impatto dei fix sulle prestazioni di vari processori, in relazione anche all’hardware/software che li accompagna.

AMD non ha chiarito la portata sulle performance dei suoi aggiornamenti, né a livello consumer, né a livello server.

Secondo i testi condotti da Phoronix sul Linux kernel 4.15 la differenza è in effetti trascurabile per alcuni task, come il gaming. In altri però, la differenza è sensibile. Parliamo ad esempio di Wine, dell’esecuzione di macchine virtuali o anche nella gestione di database come PostgreSQL. Questi ultimi due aspetti sono particolarmente importanti a livello server. Google afferma che la sua struttura cloud non abbia subito un impatto degno di nota applicando le patch dovute, ma non tutti i fornitori di servizi cloud, come JitBit o Epic Games la pensano allo stesso modo.

Microsoft ha chiarito più in dettaglio che tipo di impatto aspettarsi a seconda della versione di Windows e del processore in uso.

  • Windows 10 con processore recente (PC del 2016 PC, ovvero con Skylake, Kabylake o CPU più nuova): rallentamenti minimi, che la maggior parte degli utenti nemmeno noteranno.
  • Windows 10 con processore meno recente (PC del 2015, con Haswell o CPU più vecchia): rallentamenti percepibili da alcuni utenti.
  • Windows 8 e Windows 7 con processore meno recente (PC del 2015, con Haswell o CPU più vecchia): la maggior parte degli utenti noteranno un calo di prestazioni.
  • Windows Server con qualsiasi processore, mostrano un impatto significativo, per questo motivo Microsoft invita a bilanciare sicurezza e performance.
Aggiornamento05/01/2018 ore 9:00

Abbiamo corretto l’articolo per riflettere le ultime novità, in particolare con le dichiarazioni di Intel circa il rollout delle sue patch ed i presunti cali di performance, sui quali abbiamo riportato anche il parere di Google. Abbiamo inoltre corretto la parte relativa al mondo Apple, chiarendo meglio quali sono i dispositivi minacciati.

Aggiornamento07/01/2018 ore 9:00

Abbiamo ampliato il paragrafo sulle performance, con particolare riferimento ai test condotti da Phoronix.

Aggiornamento09/01/2018 ore 19:00

Abbiamo esplicitato la posizione di Microsoft in merito al calo di performance dei sistemi Windows.

Aggiornamento10/01/2018 ore 17:00

Abbiamo aggiunto un elenco dei dispositivi Chrome OS interessati, con relativo stato delle patch/fix, nel paragrafo “quali processori sono minacciati”, oltre alle dichiarazioni di NVIDIA, sempre nello stesso paragrafo.

Aggiornamento12/01/2018 ore 10:40

Abbiamo rettificato la posizione di AMD, sia nel paragrafo su come proteggersi, che in quello relativo alle performance. Abbiamo anche aggiunto una tabella di Intel con l’impatto del fix sulle performance.

Via: Engadget, Neowin
  • ferragno

    “Google afferma che gli smartphone Android con gli ultimi aggiornamenti di sicurezza sono protetti.”
    chi lo dice hai produttori?

    • Karakurt

      Un produttore è morto quando ha letto la tua domanda XD

  • carlo

    Google afferma che gli smartphone Android con gli ultimi aggiornamenti di sicurezza sono protetti.
    in pratica un miliardo di telefoni android, e forse di più, saranno lasciati a loro stessi. e non venite a dire google ha tappato la falla, la falla è tappata e il problema risolto quando una percentuale significativa di telefoni affetti risulta al sicuro.

    • Nelly Morgan

      Fermiamoci per vedere 68 Kill >>> ESTRENOSSX.BLOGSPOT.COM

    • Anita Liste

      Fermiamoci per vedere Operation Dunkirk >>> SONYPICTURES01.BLOGSPOT.COM

  • Razor

    Cara intel, dai la lista dei pc e cpu infette, almeno posso darmi una regolata…

    700 euro di pc, se è infetto e me cali le prestazioni ve lo tiro in fronte…

    Per me è un complotto

  • Andrea Guzzon

    In realtà stando al sito di ARM ad esempio i Cortex A53 non rientrano tra le famiglie architetturali vulnerabili. Quindi si, indubbiamente la fetta di utenti coinvolti è ampia. Ma non sono sicuramente coinvolti tutti quanti

    Lato desktop invece Fedora ha già rilasciato il kernel aggiornato, cosi come Ubuntu e OSuse (non so altre distro).