Le pericolose vulnerabilità dei processori possono essere sfruttate anche via Internet per carpire dati da app e software, quindi non è sufficiente aggiornare il sistema operativo ma occorrono anche patch per i browser che gli utenti devono scaricare e installare al più presto. Lo dichiara il team di Mozilla che in una nota spiega il funzionamento di potenziali attacchi e le contromisure già implementate contenute in un aggiornamento di sicurezza di Firefox, di cui viene raccomandato il download immediato.
Le vulnerabilità Meltdown e Spectre individuate in numerosi processori dei principali costruttori, Intel e ARM inclusi, sono gravi perché entrambe – nella peggiore delle ipotesi – potrebbero consentire a cybercriminali di ottenere importanti informazioni da software e app superando restrizioni e limitazioni nella memoria del computer. Le vulnerabilità in questione, lo ricordiamo sono legate essenzialmente a scelte progettuali nell’implementazione dell’architettura delle CPU: non si possono risolvere alla radice (se non sostituendo l’hardware con processori futuri esenti dal problema) ma è possibile mitigare alcuni dei potenziali attacchi con aggiornamenti software specifici per i sistemi operativi più diffusi, anche se in alcuni casi a scapito delle prestazioni complessive del computer o del dispositivo mobile.
Mozilla fa sapere che da esperimenti interni è emersa la possibilità di fruttare queste falle per leggere dal web mediante JavaScript contenuti riservati di diverso tipo. Affinché questi attacchi siano fattibili, è necessario eseguirli in specifici intervalli di tempo che devono essere misurati con estrema precisione. Per evitare che ciò sia possibile gli sviluppatori di Mozilla hanno disabilitato o ridotto la precisione di varie routine che si occupano del tempo, impedendo o ad ogni modo complicando la vita di eventuali attaccanti che mirano a sfruttare le vulnerabilità che eliminano la barriera tra le applicazioni dell’utente e le parti più sensibili del sistema operativo.
L’ultima versione di Firefox nel momento in cui scriviamo è la 57.0.3Il fix che tiene conto dei bug dei processori vulnerabili ad attacchi side-channel è integrato in Firefox 57. Per chi non lo ha ancora fatto, ancora una volta la raccomandazione è quella di aggiornare al più presto sistema operativo e applicazioni. I vari produttori raccomandano di installare gli eventuali aggiornamenti di sicurezza per i propri sistemi non appena resi disponibili dai rispettivi produttori.
Apple lo ha già fatto con i sistemi operativi più recenti: nelle prossime ore è atteso anche il rilascio di un aggiornamento di sicurezza di Safari.
