Meltdown e Spectre sono i nomi dati a gravi difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati a partire dal 1995 da Intel e in alcuni di quelli prodotti da Amd e progettati da Arm. Ad oggi, potenzialmente, Pc, smartphone, tablet, console per giocare, auto, cloud, smart tv sono vulnerabili, poiché hanno nel loro cuore i microchip prodotti da Intel, Arm e Amd.

Meltdown è un difetto presente nelle CPU prodotte da Intel e del futuro Cortex-A75 della Arm, mentre Spectre, di cui sono presenti due varianti affligge non solo i processori di Intel ma anche quelli di Amd (Ryzen) e Arm usati sugli smartphone,. Meltdown pare sia risolvibile via software; Spectre per ora no.

Volendo approfondire molto la questione, I bug scoperti da un team di ricercatori (Google Project Zero, Cyberus Technology, Graz University of Technology) sono tre, classificati rispettivamente come Variante 1, Variante 2 e Variante 3. La Variante 1 (CVE-2017-5753) riguarda un problema di bounds check bypass, la Variante 2 (CVE-2017-5715) presta il fianco a una branch target injection e la Variante 3 (CVE-2017-5754) permette di accedere alla memoria cache della CPU in maniera inappropriata. Complessivamente, i bug sono noti come Meltdown (Variante 3) e Spectre (Variante 1 e 2).

Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e affliggono le barriere protettive fondamentali che isolano un processo da un altro, come ad esempio un’applicazione da un’altra. Normalmente un’applicazione non può spiare i dati usati di un’altra app, ma con Meltdown e Spectre questo isolamento viene meno.

Questo consente per esempio a una pagina Web o a un’app ostile di rubare password (persino da un gestore di password), chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo.

Dobbiamo quindi tremare? Non proprio. Come riporta l’agenzia ANSA, per sfruttare queste vulnerabilità, l’hacker deve essere già entrato nel sistema dell’utente“, spiega Luca Sambucci, della società di sicurezza Eset. Non va dimenticato, infatti, che le falle sono state scoperte da gruppi di ricercatori indipendenti un anno fa, ma la notizia doveva essere resa pubblica solo il 9 gennaio, insieme agli aggiornamenti di sicurezza delle aziende.

Di nostro, cosa dobbiamo fare per difenderci al meglio e dormire tranquilli?

A livello hardware, verificate di avere l’ultimo bios di sistema installato. La situazione è in continua evoluzione quindi è bene verificare in questi giorni se il vostro produttore di mainboard, notebook, smartphone etc. ha rilasciato una nuova release di firmware.

Per i dispositivi Apple, iOS risulta già corretto dalla versione 11.2, macOS dalla 10.13.2 e tvOS dalla 11.2 (watchOS non richiede aggiornamenti correttivi). Il browser Safari dovrebbe ricevere a breve un aggiornamento. Occorre quindi verificare di aver aggiornato il proprio dispositivo, nel caso in cui non lo sia è urgente aggiornarlo.

Per Linux è disponibile un aggiornamento. Il kernel 4.14.11, rilasciato il 3 gennaio, risolve le falle. Per sapere quale kernel avete, il comando (a terminale) è uname -r o uname -a.

Per i dispositivi Android sono disponibili gli aggiornamenti della patch 2018-01-05 almeno per i telefonini e tablet supportati dai produttori. Per sapere se il vostro Android è aggiornato, andate in Impostazioni -> Sistema -> Informazioni sul telefono (o tablet) – Livello patch di sicurezza.

Parliamo ora di Windows: Microsoft Edge, Internet Explorer 11, Windows 10, Windows 8.1 e Windows 7 SP1 sono corretti con l’aggiornamento KB4056890 del 3 gennaio scorso e con l’aggiornamento KB4056892 installabili tramite il Windows update.

Firefox è corretto dalla versione 57.0.4. Se avete una versione precedente, aggiornatela.

Google Chrome sarà corretto dalla versione 64, che dovrebbe uscire il 23 gennaio. In attesa, per continuare ad utilizzare Chrome in sicurezza, eseguite da chrome il comando: chrome://flags/#enable-site-per-process ed abilitate l’opzione

Per quanto riguarda Chrome e firefox controllate di avere le nuove versioni anche su Linux ed OSX.

Non dimentichiamoci poi di avere sempre installato nel sistema un buon antivirus e di controllare che sia sempre aggiornato. E’ una banalità, però in molti sottovalutano quanto sia importante questa semplice verifica.

Cosa molto importante, se ospitate nel vostro sistema dei sistemi operativi virtuliazzati, dovrete applicare le patch anche alle vostre virtualizzazioni, diversamente queste non saranno protette.

E’ quindi evidente che come spesso raccomandiamo ai nostri clienti, avere un sistema operativo aggiornato è davvero fondamentale, ed è importantissimo verificare periodicamente di utilizzare un sistema aggiornato e in ordine.