Chrome OS: nuovo aggiornamento contro le vulnerabilità Intel MDS

15 Maggio 2019 6

Google ha annunciato un aggiornamento critico per Chrome OS (versione 74) necessario per mitigare nuove falle di sicurezza scoperte sui processori Intel | ZombieLoad: nuova vulnerabilità dei processori Intel dal 2011 in poi |. Si tratta di un gruppo di vulnerabilità side-channel legate all'azione speculativa e definite da Intel Microarchitectural Data Sampling (MSD): in sostanza una sottocategoria delle più note Meltdown e Spectre, ma a quanto pare leggermente diversa e più semplice da eseguire.


Stando a quanto riportato da Google, un eventuale attacco MDS su Chrome OS potrebbe permettere a malintenzionati di accedere a diverse informazioni: contenuti web, cookie, password e numero di carta di credito. Queste vulnerabilità potrebbero essere usate anche per leggere la memoria host da una macchina virtuale, oppure permettere a un'app Android di leggere porzioni di memoria privilegiata.

Per tamponare queste vulnerabilità, il nuovo aggiornamento di Chrome OS disabilita di default l'Hyper Threading delle CPU Intel, un'azione necessaria che sarà seguita da ulteriori mitigazioni in Chrome OS 75. Quanto al calo prestazionale, Google dichiara che gli utenti non noteranno particolari differenze nella reattività del sistema, tuttavia è fuori dubbio che le prestazioni multitasking ne risentiranno. Ovviamente è possibile ripristinare l'Hyper-Threading manualmente.

Per maggiori dettagli sulla nuova release potete consultare il link in FONTE, a seguire invece la lista dei dispositivi potenzialmente affetti.

I DISPOSITIVI A RISCHIO

  • AOpen Chromebase Commercial
  • AOpen Chromebox Commercial
  • ASI Chromebook
  • ASUS Chromebook C200MA
  • ASUS Chromebook C300MA
  • ASUS Chromebook Flip C302
  • ASUS Chromebox 3
  • ASUS Chromebox CN60
  • ASUS Chromebox CN62
  • Acer C720 Chromebook
  • Acer Chromebase 24
  • Acer Chromebook 11 (C740)
  • Acer Chromebook 11 (C771 / C771T)
  • Acer Chromebook 13 (CB713-1W )
  • Acer Chromebook 15 (C910 / CB5-571)
  • Acer Chromebook 15 (CB3-531)
  • Acer Chromebook Spin 13 (CP713-1WN)
  • Acer Chromebox
  • Acer Chromebox CXI2
  • Acer Chromebox CXI3
  • Bobicus Chromebook 11
  • CTL Chromebox CBx1
  • CTL N6 Education Chromebook
  • Chromebook 11 (C730 / CB3-111)
  • Chromebook 11 (C735)
  • Chromebook 14 for work (CP5-471)
  • Chromebox Reference
  • Consumer Chromebook
  • Crambo Chromebook
  • Dell Chromebook 11
  • Dell Chromebook 11 (3120)
  • Dell Chromebook 13 3380
  • Dell Chromebook 13 7310
  • Dell Chromebox
  • Dell Inspiron Chromebook 14 2-in-1 7486
  • Education Chromebook
  • eduGear Chromebook R
  • Edxis Chromebook
  • Edxis Education Chromebook
  • Google Chromebook Pixel (2015)
  • Google Pixelbook
  • HEXA Chromebook Pi
  • HP Chromebook 11 2100-2199 / HP Chromebook 11 G3
  • HP Chromebook 11 2200-2299 / HP Chromebook 11 G4/G4 EE
  • HP Chromebook 13 G1
  • HP Chromebook 14
  • HP Chromebook 14 ak000-099 / HP Chromebook 14 G4
  • HP Chromebook x2
  • HP Chromebook x360 14
  • HP Chromebox CB1-(000-099) / HP Chromebox G1/ HP Chromebox for Meetings
  • HP Chromebox G2
  • Haier Chromebook 11 G2
  • JP Sa Couto Chromebook
  • LG Chromebase 22CB25S
  • LG Chromebase 22CV241
  • Lenovo 100S Chromebook
  • Lenovo N20 Chromebook
  • Lenovo N21 Chromebook
  • Lenovo ThinkCentre Chromebox
  • Lenovo ThinkPad 11e Chromebook
  • Lenovo Thinkpad X131e Chromebook
  • M&A Chromebook
  • Pixel Slate
  • RGS Education Chromebook
  • Samsung Chromebook 2 11 - XE500C12
  • Samsung Chromebook Plus (LTE)
  • Samsung Chromebook Plus (V2)
  • Samsung Chromebook Pro
  • Senkatel C1101 Chromebook
  • Thinkpad 13 Chromebook
  • Toshiba Chromebook
  • Toshiba Chromebook 2
  • Toshiba Chromebook 2 (2015 Edition)
  • True IDC Chromebook
  • Videonet Chromebook
  • ViewSonic NMP660 Chromebox
  • Yoga C630 Chromebook
Zero compromessi al miglior prezzo?? Samsung Galaxy S10 Plus, in offerta oggi da Gaming Pro a 649 euro oppure da ePrice a 723 euro.

6

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Slartibartfast

Gli amd sono affetti solo da Spectre, e forse neanche tutte le varianti.

ale

Falso, anche i processori AMD ne sono affetti, a parte Meltdown che era un semplice bug le altre vulnerabilità affliggono bene o male tutti i processori dotati di esecuzione speculativa.

Si e cosa ne hanno ricavato da quell'attacco? Nulla, se fosse così semplice hai voglia quanto sarebbe sfruttato. Un proof of concept è diverso da una falla reale, ad esempio, questi attacchi permettono con moltissima lentezza di leggere memoria ad un indirizzo arbitrario.

Già solo indovinare da quale indirizzo leggere per ottenere informazioni utili è praticamente impossibile dato che i sistemi operativi moderni hanno l'address space layout randomization (ASLR) per cui si teoricamente puoi leggere dalla memoria la chiave crittografica se sai che è salvata all'indirizzo X il problema è che è trovare un ago in un pagliaio. Questo solo per dirti uno dei mille problemi che hanno questi attacchi.

Altri problemi sono che comunque devi avere la possibilità di eseguire software sulla macchina in un ambiente non troppo sandboxato, i browser li hanno patchati subito tutti il giorno dopo per impedire gli attacchi da JavaScript, quindi di fatto al giorno d'oggi l'unico modo è fare l'attacco con un eseguibile. Ma già se riesci a mandare in esecuzione sulla macchina un tuo eseguibile puoi fare mille danni (esempio leggere e cifrare tutti i dati dell'utente) per cui in quel caso il computer è già compromesso.

Slartibartfast

Meltdown e MDS difficili da sfruttare? Ci hanno scritto attacchi dimostrativi in *javascript* a poche settimane dalla divulgazione.
E sono talmente difficili da risolvere che nessuna famiglia di processori del diretto concorrente Intel ne è affetta...

ale

Non è che lo hanno fatto a posta, falle si trovano ovunque cosa vuoi fargli causa?

Ed inoltre parliamo di vulnerabilità molto ma veramente molto difficili da sfruttare e che sono il risultato di ottimizzazioni che eseguono i processori, e che fino ad un certo livello non potranno mai essere risolte veramente neanche in nuove architetture (a meno di non tornare indietro e rinunciare a queste ottimizzazioni).

In sostanza dietro a queste cose trovo che il livello di paranoia sia molto alto per nulla, nessun attacco reale è mai stato compiuto sfruttando queste falle che ne sappiamo, e probabilmente così continuerà.

Repox Ray

Aspetta aspetta: per mitigare zombieload si disabilita l'hyperthreading?!?
Anche su windows sarà necessario disabilitare l'HT?

Sarebbe un crollo prestazionale mica da poco

Slartibartfast

Assurdo che Intel non venga colpita maggiormente da questo tipo di falle.

Stiamo parlando di perdite di prestazioni ormai a due cifre per qualsiasi macchina connessa a internet, eppure ancora nessuna causa o class action. Assurdo.

Huawei MateBook: X Pro 2019 e 14 ufficiali, prezzi Italia del 13 | VIDEO

Recensione Lenovo Yoga Book C930: il ritorno del convertibile 4 in 1

Devolo Magic 2: Powerline a 2400 Mbps e Wi-Fi Mesh | Video

Xiaomi Notebook Pro e MacOS: binomio possibile? Video