Fabricantes de software e hardware
estão sabendo das falhas Spectre e Meltdown, corroem o isolamento entre
programas executados em computadores e celulares, pelo menos desde junho
de 2017. A Mozilla, desenvolvedora do navegador Firefox, confirmou que a
falha pode ser explorada dentro de navegadores de internet para burlar o
isolamento que impede um site de ler a memória de outro e modificou o
Firefox em meados de novembro, quando a falha ainda não era de
conhecimento público.
Em um ataque teórico, um site
qualquer poderia ler o conteúdo de outra aba aberta do navegador. Se
você tem o banco aberto, outro site que também estiver aberto poderia
ler os dados que estão na página do banco, por exemplo. No pior dos
casos, senhas e dados pessoais poderiam ficar expostos mesmo quando um
site não foi aberto intencionalmente, porque um site malicioso poderia
forçar o navegador a abrir a página.
O Firefox 57, lançado em meados de
novembro, diminuiu a precisão das funções que calculam a passagem do
tempo. Isso deve impedir a exploração da falha, pois ataque depende de
um cálculo exato de tempo para determinar o valor da memória lida
indevidamente (se você entendeu a falha pela analogia da coluna
Segurança Digital
, com caixas e lixo, a mudança da Mozilla "impede o cálculo do peso da lixeira").
A correção é considerada temporária até que novos mecanismos de proteção sejam desenvolvidos.
O Chrome, do Google, ainda não
recebeu uma atualização. Programada para o da 23 de janeiro, a versão 64
também vai interferir na precisão dos cálculos de tempo e é considerada
temporária. O Google já alertou que as modificações devem impactar o
desempenho do navegador.
Uma solução mais definitiva no
Chrome é o isolamento de site estrito ("Strict Site Isolation"). O
recurso só pode ser acionado na tela de configurações experimentais
(chrome://flags) e o Google alerta que o consumo de memória do navegador
- já notoriamente alto - pode ficar até 20% maior. O Google diz que
ainda está trabalhando para resolver essa e outras questões para
viabilizar o uso dessa função de segurança.
Imagem: Fantasma da falha
Spectre. Símbolo foi escolhido porque especialistas acreditam que a
falha vai nos 'assombrar por muitos anos'. (Foto: Natascha Eibl/Domínio
Público)
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
G1
0 Comments:
Postar um comentário