• Blog

    gus

    Meltdown & Spectre: Boletim de segurança do Riseup

    Como você provavelmente já leu, há três problemas de segurança relacionados aos processadores dos computadores atuais. Essas vulnerabilidades abrem a possibilidade para um programa nefasto roubar suas senhas, segredos e informação pessoal de seu computador, mesmo se o programa for apenas um Javascript carregado num site que você visite. Essas vulnerabilidades são tão sérias quanto parecem, e você deve atualizar o seu sistema.

    • A primeira falha, chamada "Meltdown", afeta quase todos os processadores Intel e foi corrigida com atualizações para a maioria dos sistemas operacionais.

    • As duas outras falhas, chamadas de "Spectre", aplicam-se para quase todos os processadores fabricados nos últimos 20 anos, não apenas da Intel, embora essas falhas sejam mais difíceis de serem exploradas. Não há uma correção permanente para o Spectre disponível neste momento, embora se você atualizar os seus programas, você tornará esses ataques muito menos prováveis.

    Você deve seguir os dois passos abaixo, para todos os seus dispositivos:

    (1) Atualizar o seu navegador de internet (veja abaixo). Essas atualizações farão novos ataques contra o processador muito mais difíceis.

    (2) Atualizar o seu sistema operacional. Há atualizações disponíveis para Windows, macOS e GNU/Linux que corrigem a vulnerabilidade Meltdown para os processadores Intel e fornecem alguma mitigação para o Spectre. Além disso, novas atualizações para o iOS e Android tem mitigações para o Spectre.

    Melhores correções continuarão a chegar nas próximas semanas/meses para o seu sistema operacional e software. Por favor mantenha o seu sistema atualizado!

    Navegadores

    Ao atualizar o seu navegador, você tornará significamente mais difícil para um atacante roubar os seus segredos usando Javascript carregado numa página web que você visita.

    A versão 57.0.4 do Firefox e posterior inclui medidas de mitigação contra o ataque Spectre [1].

    O navegador Edge foi atualizado para incluir as mitigações do Spectre. Quando aplicar a atualização mais recente do Windows, você terá uma nova versão do Edge.

    Safari será atualizado em breve, segundo a Apple. Verifique as atualizações na App Store.

    Chrome incluirá as mitigações do Spectre a partir da versão 64, a ser lançada em 23 de Janeiro. Nesse meio tempo, você pode mudar a sua configuração para mitigar bastante a vulnerabilidade Spectre ao habilitar "site isolation" - https://support.google.com/chrome/answer/7623121

    Além disso, veja também https://riseup.net/pt/better-web-browsing para instruções de boas práticas para proteger sua experiência web (as quais também ajudam a mitigiar esses novos ataques).

    Windows

    Para o Windows 10, você deve primeiro atualizar qualquer software de anti-virus antes de atualizar o Windows. Se não fizer, o seu sistema pode parar de funcionar [2].

    Para atualizar o Windows 10:

    Selecione o botão Iniciar, depois Configurações > Atualização & segurança > Atualização do Windows e selecione "Verificar atualizações".

    Agora é um bom momento para habilitar as atualizações automáticas:

    Selecione o botão Iniciar, depois Configurações > Atualização & segurança > Atualização do Windows > Opções avançadas e abaixo de "Escolha como as atualizações são instaladas", selecione "Automático (recomendado)".

    Se você estiver usando Windows 7 ou 8, uma atualização também está disponível.

    macOS

    Se você já tiver a versão do macOS 10.13.2 então você está protegido contra o Meltdown [3]. Caso contrário, você necessita atualizar o macOS:

    Abra a App Store no seu Mac. Clique em "Atualizações" na barra da App Store, então use o botão "Atualizar" para baixar e instalar as atualizações listadas.

    Agora é um bom momento para habilitar as atualizações automáticas:

    Selecione o menu Apple, depois selecione Preferências do Sistema > App Store > Verificar automaticamente por atualizações.

    A Apple planeja lançar em breve uma atualização para o navegador Safari para fornecer alguma mitigação contra o Spectre.

    iOS

    A Apple disse que o iOS é afetado pelo Spectre e uma atualização para mitigar a maioria dos novos ataques foi lançada. Se você tiver a versão 11.2 ou superior do iOS, então está tudo bem [3]. Para verificar novas atualizações, vá em Configurações > Geral > Atualização de software.

    Android

    A má notícia é que o Android é vulnerável para o Spectre e a menos que você tenha um celular da marca Google ou use um firmware alternativo, você talvez não terá atualização por meses, isto é, se acontecer um dia. No entanto, o consenso entre os pesquisadores de segurança no momento é que o ataque Spectre é muito difícil e que provavelmente há formas mais fáceis para comprometer um celular Android. Ah é?

    Há uma coisa que você pode fazer para tornar a segurança do seu Android melhor contra esses novos ataques:

    • Habilitar o "site isolation" no Chrome: https://support.google.com/chrome/answer/7623121

    • Atualizar o navegador Chrome depois de 23 de Janeiro.

    • Alternativamente usar o Firefox para Android.

    Debian/Ubuntu GNU/Linux

    Execute o "Software Center" ou "Software Updater".

    Alternativamente, abra um terminal e digite:

       sudo apt update 
       sudo apt upgrade 
       sudo reboot 
    

    Fedora GNU/Linux

    Abra um terminal e digite:

       sudo dnf --refresh update kernel 
       sudo reboot 
    

    Fiquem seguros, fiquem fortes,

    Os pássaros do Riseup.

    [1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/

    [2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/

    [3] https://support.apple.com/en-us/HT208394

    Traduzido de Newsletter Riseup - 2018-01-06