Meltdown e Spectre: come risolvere e proteggersi contro potenziali exploit

05 Gennaio 2018 681

Meltdown e Spectre sono l'argomento del momento e sempre più utenti si chiedono se il loro sistema è protetto nei confronti delle due minacce emerse nelle scorse ore. A partire da ieri sono stati rilasciati diversi aggiornamenti che hanno iniziato ad introdurre una prima ondata di patch che puntano a mettere fuori gioco Meltdown, attraverso l'attuazione di soluzioni d'emergenza che possono portare anche un impatto negativo sulle prestazioni generali del sistema.

La situazione risulta diversa per quanto riguarda la vulnerabilità Spectre, la quale risulta difficile sia da contrastare che da sfruttare. Di seguito vi proponiamo un recap dello stato della situazione sino ad ora, con i consigli sulle mosse da fare in base al vostro sistema operativo.

Sistemi operativi Desktop

Windows:

Se disponete di un computer con sistema operativo Windows 10, Microsoft ha già messo in campo le prime contromisure e vi basterà verificare la presenza di aggiornamenti ed eseguire l'installazione delle seguenti patch in base alla versione dell'OS presente sul vostro PC:

  • Versione 1709 "Fall Creators Update": 16299.192, patch KB4056892 | Changelog | Download
  • Versione 1703 "Creators Update": build 15063.850, patch KB4056891 | Changelog | Download
  • Versione 1607 "Anniversary Update": build 14393.2007, patch KB4056890 | Changelog | Download
  • Versione 1511 "November Update": build 10586.1356, patch KB4056888 | Changelog | Download
  • Versione 1507 "Initial release": build 10240.17738, patch KB4056893 | Changelog | Download

Qualora siate in ambienti Windows 7 o 8.1, dovrete attendere il prossimo martedì per poter aggiornare il vostro sistema operativo e risultare protetti contro Meltdown. Segnaliamo che la piattaforma Xbox One, anch'essa un dispositivo su base Windows, non è esposta alle vulnerabilità. Microsoft, inoltre, ha rilasciato degli aggiornamenti specifici per la gamma Surface.

Cosa fare nel mentre? È altamente improbabile che venga sviluppato un exploit in grado di sfruttare queste vulnerabilità e vi colpisca nel giro dei pochi giorni che vi separano dall'update. In ogni caso vi invitiamo a ridurre al minimo il download di file provenienti da fonti sconosciute e vi consigliamo di adottare le precauzioni descritte sotto alla voce Browser.

macOS:

Qualora il vostro computer sia un Mac, siete già protetti contro Meltdown se avete effettuato l'aggiornamento a macOS 10.13.2 High Sierra o superiori. Apple ha rilasciato anche un fix per Sierra e El Capitan, rispettivamente gli update di sicurezza 2017-002 e 2017-005. Al momento non risultano in distribuzione update per le versioni precedenti. Ulteriori protezioni verranno rilasciate con macOS 10.13.3.

Cosa fare nel mentre? La maggior parte dei Mac con processore Intel x86 dovrebbero risultare protetti nei confronti di Meltdown e se state utilizzando una versione di sistema precedente a El Capitan potrebbe essere questo il momento giusto per fare il salto verso la più recente. Potrebbero risultare scoperti i dispositivi con chip Intel rilasciati tra il 2006 e la prima metà del 2007 che non supportano El Capitan e sono fermi a Yosemite. In quel caso vi invitiamo ad adottare le precauzioni indicate alle voce Browser e a prestare particolare attenzione alla fonte dei vostri download.

Chrome OS:

I Chromebook che utilizzano il kernel Linux in versione 3.18 o 4.4 sono già protetti nei confronti di Meltdown. Per verificare questo dato è sufficiente digitare la stinga chrome://gpu e scrollare sino a Informazioni sulla Versione. Google ha aggiunto che le precedenti versioni del kernel verranno patchate con i prossimi update e riguarderanno anche i Chromebook con chip ARM, nonostante questi non siano affetti.

Cosa fare nel mentre? Anche in questo caso si consiglia di far particolare attenzione ai siti esplorati e al software utilizzato se il kernel del proprio dispositivo non è ancora stato aggiornato. In questo caso si consiglia di attivare la modalità Site Isolation di Chrome: maggiori dettagli nella sezione Browser.

Linux:

Vista la presenza di tantissime distribuzioni Linux, è al momento difficile definire un quadro della situazione onnicomprensivo. RedHat, Debian, Ubuntu e SUSE sono già al lavoro per distribuire i primi aggiornamenti di sicurezza e hanno messo a disposizione delle pagine di supporto da cui poter scaricare le eventuali patch e per restare aggiornati sull'evoluzione della vicenda. Qui di seguito vi proponiamo i link per poter raggiungere le pagine informative citate:

Mobile

Android:

Google ha rilasciato le patch che introducono i fix per Meltdown sviluppati da ARM con le Patch di sicurezza Android di gennaio. Occorrerà quindi che il vostro dispositivo riceva questo update per risultare protetto nei confronti di Meltdown; al momento risulta che solamente i Pixel e i Nexus siano stati coinvolti dall'aggiornamento.

Cosa fare nel mentre? Sino al rilascio della patch si sconsiglia di scaricare applicazioni, anche presenti nel Play Store, provenienti da fonti dubbie. Ad oggi non esistono exploit utilizzabili, tra un mese non si sa.

iOS:

Per proteggere il vostro dispositivo iOS nei confronti di Meltdown sarà sufficiente aver installato l'update ad iOS e tvOS 11.2 rilasciato nel mese di dicembre. Questo significa che tutti i dispositivi iOS a 64 bit sono già stati protetti da Meltdown, mentre restano vulnerabili tutti i terminali a 32 bit. Apple non ha ancora annunciato il possibile rilascio di un aggiornamento di sicurezza di iOS 10 e 9, in modo da poter coprire la maggior parte dei terminali meno recenti o obsoleti.

Cosa fare nel mentre? Vista la struttura di iOS, è altamente improbabile che uno smartphone o tablet senza il jailbreak possa essere colpito, tuttavia anche in questo caso vi invitiamo a prestare attenzione ai siti visitati, dal momento che gli attacchi possono essere eseguiti anche tramite un semplice browser web.

Browser

I browser sono alcuni degli strumenti che potrebbero essere utilizzati in futuro per eseguire attacchi contro i sistemi vulnerabili a Meltdown. Per evitare ciò vi consigliamo di verificare che il vostro browser sia aggiornato alla versione più recente. Per quanto riguarda Microsoft Edge e Internet Explorer, i fix sono stati già inclusi all'interno delle patch di Windows 10, quindi i browser della casa di Redmond risultano già protetti.

Google ha annunciato che rilascerà l'update 64 per Chrome il prossimo 23 gennaio, il quale dovrebbe raggiungere sia i dispositivi desktop che mobile. Al momento, ovvero su Chrome 63, è possibile ridurre le possibilità di un attacco attivando la modalità Site Isolation, digitando la seguente stringa nella barra degli indirizzi del browser: chrome://flags#enable-site-per-process.

Mozilla ha rilasciato un aggiornamento di Firefox che lo porta alla versione 57.0.4 e introduce tutti i fix necessari ad arginare Meltdown. L'update è disponibile su tutti i sistemi operativi, mobile inclusi, e vi invitiamo ad effettuarlo il prima possibile se siete soliti utilizzare Firefox come browser principale.

Per quanto riguarda Safari, invece, Apple ha annunciato che verranno rilasciati degli aggiornamenti che mitigheranno la minaccia rappresentata da Spectre, dal momento che i sistemi operativi macOS e iOS sono già stati patchati con i recenti update di dicembre.

Processori

Intel:

Intel ha da poco comunicato di aver già in programma il rilascio delle patch che permetteranno di proteggere il 90% delle CPU realizzate negli ultimi 5 anni. Questo avverrà già nel giro delle prossime ore o giorni, visto che molti update sono pronti e in fase di distribuzione, motivo per cui vi invitiamo a lasciare attivi gli aggiornamenti automatici di sistemi operativi e software Intel. Ovviamente attendiamo ulteriori sviluppi, visto che le CPU esposte includono anche quelle realizzate e commercializzate persino 10 anni fa.

AMD:

A causa della loro diversa architettura, i processori realizzati da AMD non sono colpiti da due delle tre varianti di Meltdown e Spectre rilevate, mentre l'unica potenzialmente dannosa è già stata risolta dagli aggiornamenti di Windows 10 e precedenti. Gli utenti dotati di un processore AMD non dovrebbero essere interessati dal calo di prestazioni che riguarda le CPU Intel, tuttavia potrebbero rilevare inizialmente l'effetto di questa prima ondata di patch, in attesa che i fix vengano perfezionati e tarati per l'hardware interessato.

ARM:

Anche le CPU realizzate da ARM, diffusissime in ambito mobile, sono vulnerabili nei confronti di almeno due delle tre vulnerabilità emerse (4 considerando la variante A). Il chipmaker ha già rilasciato le patch dedicate ad ognuna delle CPU coinvolte, le quali dovranno però essere applicate tramite gli aggiornamenti di sistema dei dispositivi o con le già citate Patch di sicurezza Android di gennaio. Il consiglio è quindi di attenersi alle indicazioni generali fornite per il sistema operativo presente sul dispositivo ARM utilizzato.

Le patch abbattono le performance del mio pc?

Questo è uno dei punti più controversi della vicenda, dal momento che stiamo assistendo alla distribuzione su scala mondiale di fix che incidono negativamente sulle prestazioni dei sistemi coinvolti. Ad ora non esiste una risposta univoca a questa domanda, tuttavia è possibile affermare che il calo delle prestazioni non dovrebbe riguardare la maggior parte degli utenti, come emerso dai primi benchmark. Intel ha aggiunto che gli eventuali cali verranno mitigati man a mano che patch e fix si faranno più mirati e specifici.

La normale navigazione web, il gaming e altre attività come videoscrittura e consultazione di file multimediali non dovrebbero risentire in maniera misurabile dell'applicazione delle patch contro Meltdown. discorso diverso per tutti quegli ambiti lavorativi che fanno ampio uso di macchine virtuali e processi di virtualizzazione, come server aziendali e infrastrutture cloud, che potrebbero accusare ill calo di prestazioni introdotto dalle patch.


681

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Miki

ho utilizato un programma che si chiama inSpectre e mi ha fatto la verifica

UtenteAndroid

In che senso hai fatto un check?

Miki

Ho una scheda madre msi h170 con intel 6600k, ho fatto un check e il mio pc è vulnerabile solo a spectre, come risolvo?

Boronius

Bah... se usi Windows a 32 bit arrivi anche a 3.5 Giga, vuoi mettere...

Star

Uhm, d'accordo, più tardi do un'occhiata, grazie.

delpinsky

https:// community .amd .com/thread/216246

Vai sul forum AMD e senti un po' con gli utenti. Immagino saranno diversi gli utenti nelle tue stesse condizioni. Poi sul sito stesso, nella sezione driver, dovresti trovare i microcode, sempre che una CPU così vecchia sia supportata.

Star

È un AMD duo core....

delpinsky

Che processore hai? Se hai Intel, vai qui:
https:// downloadcenter .intel .com/product/873/Processors
Chissà se mai lo aggiorneranno... ma nel caso, la procedura di aggiornamento del microcode è manuale:
https:// labs .vmware .com/flings/vmware-cpu-microcode-update-driver#instructions

Con W10 almeno sei protetto a metà o qualcosa di più.

Già... Ma Intel *offre la possibilità* di aumentarla fino all' *incredibile* quantità di 3GB

Boronius

Da quello che ho capito io la soluzione DEFINITIVA al problema arriverà solo con una completa riprogettazione da zero di tutte le principali tipologie di CPU, ovvero non arriverà mai o quasi mai. Nei prossimi anni convivetemo TUTTI con il rischio più o meno remoto che i dati processati dentro alle nostre VM in cloud vengano facilmente sniffati da altre VM pirata, dati sensibili, dati in transito nelle cache, password dei nostri clienti, carte di credito nostre e dei nostri clienti ecc. ecc. e questo a prescindere da Windows o Linux o Intel o ARM ecc.

Boronius

Guarda che 640 KB di memoria RAM bastano e avanzano per tutti...

Star

Il mio pc fisso è del 2008; pensate che avrà speranza o dovrò buttarlo?

Apocalysse

No, AMD è affetto da Spectre v1, V2 solo sotto certe condizioni (non in windows per esempio)

Nicolò Veronese

Da quello che ho capito era un problema conosciuto e doveva stare segreto fino a patch create, ma google ha anticipato di una settimana la pubblicazione...

JackLiiFee

Avevo letto che AMD, in questo caso i Ryzen, erano afflitti solo da Meltdown e con una patch si sarebbe risolto

Apocalysse

No, anche loro devono essere patchati per Spectre, per Meltdown sono immuni ^^

Dea1993

ma qui non si tratta di essere fan google, ma solo che tu sei un fanb0y microsoft e hat3r google, quindi trovi sempre il modo per criticare.
e ora stai, come sempre, criticando senza fondamenti.
cioè prima fai il tuo discorso insensato sul tenere nascosta una grave falla, e poi sempre nel tuo discorso immaginario, te ne vieni fuori che google brutta e cattiva avrebbe spifferato tutto.
e poi dici che gli altri sono fan?? ti rendi conto di quante cavolate spari?

JackLiiFee

Da quanto dichiarato da Microsoft la Xbox One (S;X) non è vulnerabile

JackLiiFee

L'unica soluzione in questo momento è acquistare un AMD Ryzen? :D

Patafrosti

Microsoft pare aver tagliato fuori dal supporto le CPU AMD più vecchiotte, bella cagata

Se fosse dipeso solo da Intel, avremmo ancora CPU x86 nel consumer... XD

Mi è venuto in mente solo adesso: what about Windows Vista? Rilasceranno la correzione anche se è in EOS?

Mirkof1

Ho un vecchio dual core AMD 6000+, alla fine non l'ho installato, anche perché avevo fatto una installazione manuale, da Windows update non trovava nulla.

Patafrosti

Che CPU hai?
Alla fine te l'ha installato o l'hai bloccato?

Dea1993

stai facendo un discorso che non c'entra niente solo perchè odi google.
secondo te google che cpu usa per i suoi server?? usa le cpu di paperino?? usa cpu create da lei stessa?? assolutamente no, quindi sarebbe stato un problema anche suo se si fosse scoperta.
comunque sia ripeto, una falla grave come questa non puoi tenerla nascosta, è giusto che venga subito fixata e si inizi a pensare a nuove cpu progettate in modo tale da risolvere il problema (non a livello software) ma senza compromettere le performance.
la storia di google e microsoft è diversa.
google ha sempre detto a microsoft, guarda, hai questa falla XXX, correggila, microsoft per mesi se ne sbatte, così alla fine google dopo avergli dato l'ultimatum "se non la chiudi entro il giorno X, io pubblico le specifiche della patch", a pubblicato le specifiche della falla.
google non farà certo una cosa buona, ma anche microsoft non si impegna poi più di tanto visto che nonostante sia a conoscenza di una falla da mesi, non pensa a chiuderla nonostante la "minaccia" di google.

invece di patchare il loro os pieno di buchi vanno a dire le falle di windows


non preoccuparti che google ci pensa al suo OS, le falle le risolve sono alcuni produttori di smartphone che non portano le patch, che google sviluppa, sui loro dispositivi.

boosook

Amd64 è l’architettura a 64 bit dei pc con processori Intel e amd.

Apocalysse

Allora è un Apocalysse :P

faber80_

ah.. pure encoding e image editing, mica spiccioli.

che cu lo ad aver preso in tempo il 1700x

cipo

Al momento non saprei dire..non ho ancora una idea chiara..certo che da adesso in poi siamo un po' tutti a rischio... penso a chi fa compere online..gestisce il proprio conto in banca, paypal..ecc..
Ora che il bug è noto c'è molta più probabilità (ovviamente) che venga sfruttato su larga scala...
Certo cambiare una CPU perchè rallentata per questo problema è difficilmente accettabile.. :(

al404

al momento però non hanno un vero competitor

Daniel Ocean

E ci mancherebbe altro che siano corsi immediatamente ai ripari direi
La cosa comunque fa innervosire l'utente finale che nel suo piccolo con tutta probabilità non verrà mai attaccato sfruttando queste falle, che però si trova per le mani un processore rallentato.

Daniel Ocean

Detto da te poi (ironia scadente sul tuo nome utente, perdonami ahah)

manu1234

e tu riesci a leggere o sai solo dire cagat3?

Matador

Fan Google? ma riesci a fare un discorso serio o sai solo dire cagate?

manu1234

niente, voi fan google avete il vuoto al posto del cervello e non sapete neanche leggere. non ho detto che debbano nasconderlo, ma che se l'avessero fatto, google avrebbe tradito tutti come suo solito. consiglio di tornare alle medie

Matador

Armati di coltello

Matador

Non devono nascondere un bel niente, ben venga che si sappia il prima possibile.
Ma tanto tu non sei altro che un fantoy Microsoft, che cazz te lo dico a fare.

Il nabbo di turno

E la prossima patch potrebbe peggiorare ancora le cose...

manu1234

ovvio, ma se tutti si fossero messi d'accordo di tenerla nascosta per x tempo, google sarebbe la prima a rivelarlo come al solito. come con le falle di windows, quando invece di patchare il loro os pieno di buchi vanno a dire le falle di windows prima ancora che ms rilasci la patch

Tony

Thx.. speriamo entro questo mese che risolvono

Apocalysse

Andrebbe in contrasto con la dichiarazione che patcheranno il 90% dei processori in circolazione ^^

Tony

Avevo letto in giro che hanno intenzione di aggiornare solo quelli prodotti fino a 5 anni fa..

Tony

intel aggiornera' il microcode del core duo t9600???Ne sei sicuro???!

Apocalysse

Intel aggiornerà molto probabilmente il microcodice, ma dovrai essere tu ad aggiornarlo a mano perchè il produttore della scheda madre non penso proprio che rilascerà un nuovo Bios ^^

Tony

Questa è la situazione su un core duo t9600 su windows 7

prima https://uploads.disquscdn.c...

dopo patch

https://uploads.disquscdn.c...

Non so che fare, lo devo buttare nel cesso...?

Non penso che intel aggiornera' il microcode di un processore così vecchio...

V4N0

Già... mi metto l’animo in pace! Vanno a donnine un paio di domeniche...

andrea55

Si lo so com'è andata era per semplificare, non c'entra nel senso che non è riferita ai processori Amd

Maurizio Mugelli

c'entra con amd in quanto e' una estensione progettata da amd, intel originariamente non voleva produrre una estensione a 64bit per x86 in quanto aveva paura che x86-64 cannibalizzasse mercato alle sue piattaforme Itanium.
quando alla fine si e' deciso a metterne insieme una era ormai troppo tardi, l'amd64 era gia' diventata standard di mercato e comunque era abbastanza superiore come implementazione, alla fine pure intel si arrese e implemento' amd64 nei propri processori.

M_90®

https://uploads.disquscdn.c...

WOPR

AMD64 indica tutte le CPU x86 a 64 bit...x86 quelle a 32 bit ;)
Tutti i processori core i3, i5, i7 rientrano nella prima categoria

Huawei MateBook D da 14, 15" e X Pro 2019 arrivano su Amazon | Video

ASUS ROG Zephyrus G14, portatile con pannello LED personalizzabile | VIDEO

Migliori mouse PC e MAC da comprare a febbraio 2020: i top 5 scelti da HDblog

Huawei MateBook: X Pro 2019 e 14 ufficiali, prezzi Italia del 13 | VIDEO