Meltdown & Spectre: Boletim de segurança do Riseup

Como você provavelmente já leu, há três problemas de segurança relacionados aos processadores dos computadores atuais. Essas vulnerabilidades abrem a possibilidade para um programa nefasto roubar suas senhas, segredos e informação pessoal de seu computador, mesmo se o programa for apenas um Javascript carregado num site que você visite. Essas vulnerabilidades são tão sérias quanto parecem, e você deve atualizar o seu sistema.

  • A primeira falha, chamada "Meltdown", afeta quase todos os processadores Intel e foi corrigida com atualizações para a maioria dos sistemas operacionais.

  • As duas outras falhas, chamadas de "Spectre", aplicam-se para quase todos os processadores fabricados nos últimos 20 anos, não apenas da Intel, embora essas falhas sejam mais difíceis de serem exploradas. Não há uma correção permanente para o Spectre disponível neste momento, embora se você atualizar os seus programas, você tornará esses ataques muito menos prováveis.

Você deve seguir os dois passos abaixo, para todos os seus dispositivos:

(1) Atualizar o seu navegador de internet (veja abaixo). Essas atualizações farão novos ataques contra o processador muito mais difíceis.

(2) Atualizar o seu sistema operacional. Há atualizações disponíveis para Windows, macOS e GNU/Linux que corrigem a vulnerabilidade Meltdown para os processadores Intel e fornecem alguma mitigação para o Spectre. Além disso, novas atualizações para o iOS e Android tem mitigações para o Spectre.

Melhores correções continuarão a chegar nas próximas semanas/meses para o seu sistema operacional e software. Por favor mantenha o seu sistema atualizado!

Navegadores

Ao atualizar o seu navegador, você tornará significamente mais difícil para um atacante roubar os seus segredos usando Javascript carregado numa página web que você visita.

A versão 57.0.4 do Firefox e posterior inclui medidas de mitigação contra o ataque Spectre [1].

O navegador Edge foi atualizado para incluir as mitigações do Spectre. Quando aplicar a atualização mais recente do Windows, você terá uma nova versão do Edge.

Safari será atualizado em breve, segundo a Apple. Verifique as atualizações na App Store.

Chrome incluirá as mitigações do Spectre a partir da versão 64, a ser lançada em 23 de Janeiro. Nesse meio tempo, você pode mudar a sua configuração para mitigar bastante a vulnerabilidade Spectre ao habilitar "site isolation" - https://support.google.com/chrome/answer/7623121

Além disso, veja também https://riseup.net/pt/better-web-browsing para instruções de boas práticas para proteger sua experiência web (as quais também ajudam a mitigiar esses novos ataques).

Windows

Para o Windows 10, você deve primeiro atualizar qualquer software de anti-virus antes de atualizar o Windows. Se não fizer, o seu sistema pode parar de funcionar [2].

Para atualizar o Windows 10:

Selecione o botão Iniciar, depois Configurações > Atualização & segurança > Atualização do Windows e selecione "Verificar atualizações".

Agora é um bom momento para habilitar as atualizações automáticas:

Selecione o botão Iniciar, depois Configurações > Atualização & segurança > Atualização do Windows > Opções avançadas e abaixo de "Escolha como as atualizações são instaladas", selecione "Automático (recomendado)".

Se você estiver usando Windows 7 ou 8, uma atualização também está disponível.

macOS

Se você já tiver a versão do macOS 10.13.2 então você está protegido contra o Meltdown [3]. Caso contrário, você necessita atualizar o macOS:

Abra a App Store no seu Mac. Clique em "Atualizações" na barra da App Store, então use o botão "Atualizar" para baixar e instalar as atualizações listadas.

Agora é um bom momento para habilitar as atualizações automáticas:

Selecione o menu Apple, depois selecione Preferências do Sistema > App Store > Verificar automaticamente por atualizações.

A Apple planeja lançar em breve uma atualização para o navegador Safari para fornecer alguma mitigação contra o Spectre.

iOS

A Apple disse que o iOS é afetado pelo Spectre e uma atualização para mitigar a maioria dos novos ataques foi lançada. Se você tiver a versão 11.2 ou superior do iOS, então está tudo bem [3]. Para verificar novas atualizações, vá em Configurações > Geral > Atualização de software.

Android

A má notícia é que o Android é vulnerável para o Spectre e a menos que você tenha um celular da marca Google ou use um firmware alternativo, você talvez não terá atualização por meses, isto é, se acontecer um dia. No entanto, o consenso entre os pesquisadores de segurança no momento é que o ataque Spectre é muito difícil e que provavelmente há formas mais fáceis para comprometer um celular Android. Ah é?

Há uma coisa que você pode fazer para tornar a segurança do seu Android melhor contra esses novos ataques:

  • Habilitar o "site isolation" no Chrome: https://support.google.com/chrome/answer/7623121

  • Atualizar o navegador Chrome depois de 23 de Janeiro.

  • Alternativamente usar o Firefox para Android.

Debian/Ubuntu GNU/Linux

Execute o "Software Center" ou "Software Updater".

Alternativamente, abra um terminal e digite:

   sudo apt update 
   sudo apt upgrade 
   sudo reboot 

Fedora GNU/Linux

Abra um terminal e digite:

   sudo dnf --refresh update kernel 
   sudo reboot 

Fiquem seguros, fiquem fortes,

Os pássaros do Riseup.

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/

[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/

[3] https://support.apple.com/en-us/HT208394

Traduzido de Newsletter Riseup - 2018-01-06