Alert GCSA-18001 - Vulnerabilità Meltdown e Spectre
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
**********************************************************************
Alert ID: GCSA-18001
Data: 4 Gennaio 2018
Titolo: Vulnerabilità Meltdown e Spectre
**********************************************************************
:: Descrizione del problema
Sono state scoperte due nuove vulnerabilità che affliggono la
maggioranza dei processori in uso al giorno d'oggi.
Alla base di ognuna delle vulnerabilità c'è lo sfruttamento di bug hardware
che permetterebbero ai processi di leggere la memoria riservata agli altri
programmi.
Le vulnerabilità Meltdown e Spectre affligono sia personal computers che
dispositivi mobili e ambienti virtuali in cloud.
Molti dei vendor colpiti hanno già rilasciato patch da applicare
immediatamente.
Per una descrizione completa si rimanda alla sezione 'Riferimenti'.
:: Piattaforme e Software interessati
AMD
Apple
Arm
Google
Intel
Linux Kernel
Microsoft
Mozilla
:: Impatto
Rilascio di informazioni sensibili quali password e documenti personali disponibili nella memoria del kernel
:: Soluzione
Applicare i security update del sistema operativo in uso.
Questa è la lista finora conosciuta degli advisory rilasciati dai vendor:
Intel - https://security-center.intel.com/advisories.aspx
Microsoft - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Amazon - https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM - https://developer.arm.com/support/security-update
Google - https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Red Hat - https://access.redhat.com/security/vulnerabilities/speculativeexecution
SUSE - https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
:: Riferimenti
Meltdown and Spectre
https://meltdownattack.com/
SANS ISC
https://isc.sans.edu/forums/diary/Spectre+and+Meltdown+What+You+Need+to+Know+Right+Now/23193/
Microsoft
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Google
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Mozilla
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
US-CERT
https://www.kb.cert.org/vuls/id/584653
Security Tracker
https://securitytracker.com/id/1040071
MITRE cve
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754
GARR CERT Security Alert - subscribe/unsubscribe: http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAlpOUhYACgkQwZxMk2USYEKQlgCg4EPhDXUv9KHgXKPDjdL9XchK
fWMAnjtL5Huw4lt1lpqEqaLMvmiuWHAG
=uVnO
-----END PGP SIGNATURE-----
Hash: SHA1
**********************************************************************
Alert ID: GCSA-18001
Data: 4 Gennaio 2018
Titolo: Vulnerabilità Meltdown e Spectre
**********************************************************************
:: Descrizione del problema
Sono state scoperte due nuove vulnerabilità che affliggono la
maggioranza dei processori in uso al giorno d'oggi.
Alla base di ognuna delle vulnerabilità c'è lo sfruttamento di bug hardware
che permetterebbero ai processi di leggere la memoria riservata agli altri
programmi.
Le vulnerabilità Meltdown e Spectre affligono sia personal computers che
dispositivi mobili e ambienti virtuali in cloud.
Molti dei vendor colpiti hanno già rilasciato patch da applicare
immediatamente.
Per una descrizione completa si rimanda alla sezione 'Riferimenti'.
:: Piattaforme e Software interessati
AMD
Apple
Arm
Intel
Linux Kernel
Microsoft
Mozilla
:: Impatto
Rilascio di informazioni sensibili quali password e documenti personali disponibili nella memoria del kernel
:: Soluzione
Applicare i security update del sistema operativo in uso.
Questa è la lista finora conosciuta degli advisory rilasciati dai vendor:
Intel - https://security-center.intel.com/advisories.aspx
Microsoft - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Amazon - https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM - https://developer.arm.com/support/security-update
Google - https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Red Hat - https://access.redhat.com/security/vulnerabilities/speculativeexecution
SUSE - https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
:: Riferimenti
Meltdown and Spectre
https://meltdownattack.com/
SANS ISC
https://isc.sans.edu/forums/diary/Spectre+and+Meltdown+What+You+Need+to+Know+Right+Now/23193/
Microsoft
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Mozilla
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
US-CERT
https://www.kb.cert.org/vuls/id/584653
Security Tracker
https://securitytracker.com/id/1040071
MITRE cve
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754
GARR CERT Security Alert - subscribe/unsubscribe: http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAlpOUhYACgkQwZxMk2USYEKQlgCg4EPhDXUv9KHgXKPDjdL9XchK
fWMAnjtL5Huw4lt1lpqEqaLMvmiuWHAG
=uVnO
-----END PGP SIGNATURE-----