Correção da Intel para Meldown/Spectre é um…

Linus Torvalds é conhecido por ser um sujeito bastante sincero em suas colocações e, sobretudo, por ter sido o criador e um dos grandes desenvolvedores dos sistemas Linux. No último final de semana, outra vez ele voltou aos holofotes ao enviar uma mensagem em uma lista pública de emails a David Woodhouse, engenheiro da Amazon no Reino Unido.

O tema da conversa eram as correções aplicadas pela Intel para resolver os problemas conhecidos como Meltdown e Spectre, que atingem todos os processadores criados pela companhia ao longo dos últimos 10 anos. Para Linus, a fabricante está enfiando no pacote uma série de coisas desnecessárias e que, pior, não resolvem o problema de fato.

“Tudo isso é puro lixo”, escreveu Linus. “A Intel está realmente planejando fazer essa merda arquitetural? Alguém já disse a eles que eles estão loucos pra c******? Por favor, qualquer engenheiro da Intel que esteja aqui, converse com seus chefes. Se a alternativa for fazer um recall de um produto de duas décadas e dar a todos uma nova CPU gratuita, não seria maluquice”, prosseguiu o criador do Linux.

Um total e completo lixo

Torvalds critica a Intel por aparentemente incluir na lista de melhorias algumas questões que já haviam sido resolvidas e deixar de lado situações mais sérias. Com isso, ela passaria a impressão de que vários problemas estão sendo corrigidos, mas, na prática, não traria uma solução de fato para o contexto mais grave.

“Alguém não está dizendo a verdade aqui. Alguém está empurrando um completo lixo por razões incertas. Desculpe ter que apontar isso”, continua o criador do Linux. “Os pacotes são UM TOTAL E COMPLETO LIXO” afirma em caixa alta.

Linus Torvalds chama ainda de “idiotas” os responsáveis pelo design problemático das CPUs que favoreceram as falhas de segurança.

“Eles [a Intel] estão fazendo coisas literalmente insanas. Estão fazendo coisas que não fazem sentido. Isso faz os seus argumentos [de David Woodhouse] questionáveis e suspeitos. Os pacotes fazem coisas fora da sanidade”, esbraveja Torvalds. “Que p**** está acontecendo? Estão ignorando um problema muito pior, nomeadamente que toda a interface de hardware foi mal desenhada por idiotas.”

Posição da Intel

As mensagens foram trocadas na lista pública no último domingo (21) e a Intel já foi inteirada das críticas de Torvalds. “Nós tomamos a sério o feedback de nossos parceiros na indústria”, afirma a companhia em comunicado. “Estamos envolvidos de maneira ativa com a comunidade Linux, a qual inclui o Linus, visto que procuramos trabalhar juntos em soluções.”

Dado o tom da crítica de Linus e da amenidade da resposta da Intel, é possível sugerir que o criador do Linux sabe bem do que está falando e não está equivocado em se posicionar de maneira tão direta e assertiva contra as medidas tomadas pela fabricante neste caso. Sem dúvida, a empresa tem um longo caminho pela frente até que todos os problemas envolvendo Meltdown e Spectre sejam resolvidos.

Fonte: Tecmundo

Intel pede que usuários não instalem atualizações, como assim?

A Intel emitiu um comunicado nesta segunda-feira, 22/1, pedindo para que os usuários deixem de instalar os correções disponíveis atualmente contra a falha de CPU Spectre, que podem reiniciar as máquinas contra a vontade dos donos, além de impactar o desempenho de alguns sistemas.

“Agora identificamos a causa raiz para as plataformas Broadwell e Haswell, e fizemos um bom progresso em desenvolver uma solução para resolver o problema”, afirmou o VP executivo da Intel, Navin Shenoy, em um post no blog da empresa.

Até então, a empresa vinha pedindo para os usuários instalarem essas atualizações contra as falhas, mesmo com os bugs.

“Recomendamos que as fabricantes de hardware, provedores de serviços na nuvem, desenvolvedores de sistemas, empresas de software e usuários finais parem de instalar as versões atuais, já que elas podem introduzir mais reinicializações do que o esperado e outros comportamentos inesperados do sistema.”

Apesar do post do executivo da Intel mencionar explicitamente apenas os chips Broadwell (2013) e Haswell (2014), a nova diretriz de revisão de microcódigo da empresa aponta que esse conselho também se aplica a processadores mais modernos, como Sandy Bridge (2011), Ivy Bridge (2012), Skylake (2015) e Kaby Lake (2017).

Agora é preciso ficar de olhos bem abertos à espera dessas novas atualizações, que deverão ser publicadas em breves por fabricantes de PCs, como HP, Dell, Asus, entre outras.

Fonte: IDG Now!

Adobe corrige falhas do Flash e Connect

Adobe-flash-bug-patchA Adobe Systems liberou nesta semana patches de segurança agendados para seu aplicativo Flash Player assim como para a plataforma web de conferência Adobe Connect, que é popular em empresas.

As atualizações de segurança do Flash Player corrigem nove vulnerabilidades críticas que podem ser exploradas remotamente para executar código malicioso em computadores. Todas elas tinham sido reportadas para a Adobe de forma privada por meio da iniciativa Trend Micro’s Zero Day, um programa de aquisição de exploits.

Os usuários devem fazer o upgrade para o Flash Player 23.0.0.207 no Windows e Mac e para o Flash Player 11.2.202.644 no Linux. As versões do Flash embutidas no Chrome, Microsoft Edge e IE 11 serão atualizadas automaticamente pelos navegadores.

Esse novo pacote de patches do Flash chega apenas duas semanas após a Adobe liberar uma atualização de emergência para uma vulnerabilidade do Flash que os criminosos já estavam explorando.

Além do Flash Player, a empresa também liberou um patch para o Adobe Connect no Windows. A nova versão 9.5.7 corrige uma vulnerabilidade de validação no módulo de registro de eventos que pode ser explorada em ataques de scripting em sites cruzados.

Fonte: IDG Now!

Adobe corrige várias falhas de segurança do Flash

Adobe-flash-bug-patchA Adobe corrigiu nesta semana mais de 30 vulnerabilidades nos seus produtos Flash Player e Digital Editions, sendo que a maioria delas poderiam ser exploradas instalar malware remotamente em computadores.

A maior parte das falhas, 26 delas, foram solucionadas no Flash Player em todas as plataformas suportadas: Windows, Mac e Linux. Vinte e três dessas vulnerabilidades podem levar à execução remota de código e as outras três podem ser usada para revelar informações ou burlar recursos de segurança, segundo afirmou a Adobe em seu alerta sobre as correções.

A Adobe pede para os usuários atualizarem o Flash Player para a versão 23.0.0.162 no Windows e no Mac e para a versão 11.2.202.635 no Linux. A nova versão do Flash Player com suporte estendido, que só recebe patches de segurança, está agora em 18.0.0.375.

Vale notar que a Adobe decidiu recentemente atualizar a versão NPAPI do plug-in do Flash Player para Linux, que estava travado na versão 11.2 há alguns anos. Essa é a versão do plug-in do Flash usada no Linux por todos os navegadores com exceção do Chrome, que usa uma arquitetura mais nova de plug-in chamada PPAPI.

Digital Editions

Além das correções do Flash, a Adobe também liberou a versão 4.5.2 do Digital Editions para Windows, Mac, iOS e Android. Essa nova versão do app de leitura de e-books (livros digitais) corrige oito vulnerabilidades, todas as quais podiam ser exploradas para execução remota de códigos.

Por fim, a Adobe atualizou seu Adobe AIR SDK & Compiler para Windows para a versão 23.0.0.257.

Fonte: IDGNow!

LastPass corrige vulnerabilidades graves

lastpassAs vulnerabilidades foram descobertas por dois investigadores de forma independente e, em ambos os casos, a LastPass demorou pouco mais de um dia para as corrigir. A empresa assumiu as falhas e comunicou também a correção. Mathias Karlsson descobriu um bug que permite criar um URL falso, fazendo os usuários pensar que estavam a acessando o Twitter e digitando a sua senha, para a roubar.

O sistema depois reencaminha o usuário para o Twitter, para que este não se aperceba do ataque. Por outro lado, Travis Ormandy, da Google Security Team, anunciou uma falha na extensão do LastPass para o Firefox, que também já foi sanada.

As recomendações de segurança mantêm-se: não clique em links de origens desconhecidas, use senhas diferentes para cada serviço e ative a autenticação de dois fatores sempre que estiver disponível.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática

Oracle libera pacote com várias correções para o Java

JavaA Oracle liberou um pacote de correções de segurança. Ao todo, 276 ameaças foram consertadas nessa atualização. Do total, estima-se que 159 podem acessar sistemas remotamente, sem a necessidade de autenticação. No topo da lista estão patches para Java, que corrigem 13 vulnerabilidades. Essa frente é destacada como prioritária, pois muitas aplicações usam a plataforma, instalada em um grande número de sistemas.

“Usuários realmente precisam rodar essas correções do Java CPU (Critical Patch Update) o quanto antes”, afirmou John Matthew Holt, CTO da companhia de segurança de aplicações Waratek. De acordo com a Oracle, parte desses patches requerem ainda maior urgência e atenção, por exemplo, o de máquinas virtuais para servidores e desktops HotSpot Java, que recebeu alta pontuação do CVSS (Common Vulnerabilities Scoring System).

O Oracle Database Server recebeu correções para nove vulnerabilidades, uma elencada como crítica. Enquanto isso, o Oracle MySQL database recebeu correções para 22 novas questões de segurança, das quais quatro com alto grau de severidade.

Os produtos e componentes do Fusion Middleware receberam um total de 35 correções, cinco apontadas como críticas. Já a suíte de sistemas Sun recebeu 34 patches, cinco consertam pontos no Solaris OS e switches de rede que podem ser acessadas remotamente.

Há ainda correções especificas para produtos como o Oracle Supply Chain, Oracle Communications, Oracle Banking Platform, Oracle Financial Services Applications, Health Sciences, Oracle Insurance Applications, Oracle Utilities Applications, além de outras ferramentas para o varejo. A recomendação da Oracle é que essas correções sejam instaladas o quanto antes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Google corrige 36 falhas de segurança do Android

google_marshmallowA última série de patches de segurança para o Android resolve cerca de duas dúzias de vulnerabilidades nos drivers de sistema para vários componentes hardware de diferentes fabricantes de chips.

O maior número de falhas críticas foram direcionadas aos drivers de vídeo Qualcomm, o driver de som, driver GPU, driver do Wi-Fi e driver da câmera. Algumas dessas vulnerabilidades poderiam permitir aplicações maliciosas a executarem códigos mal intencionados no kernel do sistema levando ao comprometimento permanente do dispositivo.

Falhas similares foram corrigidas no driver Wi-Fi da Broadcom, driver de câmera Nvidia, e o driver de gerenciamento de energia MediaTek. Essas vulnerabilidades conseguiam dar a aplicações privilégios ou configurações do sistema que, ao contrário, não deveriam ter. Em alguns casos, as falhas permitiam execução do código-fonte kernel, mas apenas se o invasor comprometesse um serviço diferente para se comunicar com o driver vulnerável.

Essas falhas são um alerta para que fabricantes de chips direcionem maiores esforços ao testarem seus códigos, que tipicamente consistem em drivers que rodam nas áreas mais privilegiadas do sistema operacional.

Detalhamento das correções

Além dos reparos às 21 vulnerabilidades nos drivers para diferentes componentes, o Google consertou mais de doze falhas no componente do mediaserver. Uma crítica, 12 de alto risco e uma falha moderada foram reparadas no mediaserver, um componente que lida com o processamento de áudio e vídeo no Android.

O Google tem trabalhado para fortalecer o mediaserver do seu sistema operacional no último ano. Uma vulnerabilidade crítica foi reparada no libwebm, que poderia permitir aplicações executarem código no contexto do processo do mediaserver que conta com privilégios especiais.

Fora isso, outra falha de alto risco foi consertada no camada de emulação do SD card, outra moderada no Framework UI e uma no administrador de atividades.

O Google liberou sua atualização na última segunda-feira (06/06) para seus aparelhos Nexus: Nexus 5, Nexus 5X, Nexus 6 e Nexus 6P. A companhia também notificou fabricantes de aparelhos sobre tais reparos no dia 2 de maio para que elas possam preparar suas próprias atualizações de firmware.

Os patches serão liberados também no Android Open Source Project (AOSP) nas próximas 48 horas para que a comunidade de desenvolvedores de firmware Android e outros projetos que confiam no código AOSP possam integrá-los.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, a referência a essa notícia.

Fonte: IDG Now!