Falhas graves foram descobertas nos processadores das principais fornecedoras globais. Elas afetam praticamente todos os modelos lançados nos últimos 20 anos. Batizadas de “Meltdown” e “Spectre”, as falhas permitem o acesso não autorizado a informações privadas que estejam sendo manipuladas pelo processador. Além de graves, elas são de difícil correção.
A primeira falha, Meltdown, foi divulgada inicialmente pelo site britânico The Register e, posteriormente, comentada com mais profundidade por pesquisadores do Project Zero, do Google, um grupo de trabalho especializado em encontrar e notificar falhas em sistemas computacionais e que descobriu essa e a outra (Spectre).
Ela permite que programas comuns consigam acesso a informações de áreas protegidas do “kernel” do sistema operacional, uma parte central responsável por fazer o diálogo entre software e hardware. Há uma quebra (ou “derretimento”, daí o nome) da barreira fundamental que separa aplicações do usuário das do sistema operacional. Na prática, toda e qualquer informação, incluindo senhas, documentos privados e fotos, podem ser extraídas por um software mal intencionado.
A correção do problema, que se dá por atualizações no sistema operacional, separa o kernel em um espaço completamente distinto, ou seja, ela apenas o contorna ante a impossibilidade de saná-lo via atualização de software. A desvantagem é que essa solução gera um impacto considerável no desempenho do processador — em alguns cenários, ele pode ficar até 30% mais lento. Segundo a Intel, o impacto é maior em aplicações de processamento mais intenso e para usuários comuns, ele não deve ser significativo.
Estima-se que a Meltdown afete todos os processadores Intel lançados desde 1995, com exceção dos da família Itanium (para servidores) e os chips Atom lançados antes de 2013. A correção via atualização dos sistemas operacionais terá impacto maior em processadores mais antigos; quanto mais novos, menor será a perda de desempenho. Servidores na nuvem de grandes empresas, como Amazon, Google e Microsoft, também são afetados e também estão recebendo atualizações para mitigar a atuação da Meltdown.
Spectre
A outra falha, denominada Spectre, quebra o isolamento entre aplicações diferentes, enganando-as a fim de vazarem informações confidenciais. Ela ganhou esse nome porque afeta um processo chamado “execução especulativa” e, não sendo de fácil solução, deve assustar os usuários por um bom tempo — o termo significa “espectro” ou “fantasma” em inglês.
Diferentemente da Meltdown, a Spectre afeta processadores de outras empresas e arquiteturas. Além dos da Intel, chips da AMD (computadores e servidores) e da ARM (processadores Cortex-A, para smartphones e tablets) também podem sofrer ataques a partir da falha Spectre. Os processadores Cortex-M da ARM, destinados a aplicações de Internet das Coisas, estão imunes.
Pesquisadores da Universidade de Tecnologia de Graz, na Áustria, que atuaram na descoberta e divulgação da falha Meltdown, criaram um site que concentra informações sobre as duas falhas. Eles explicam que praticamente todos os computadores e smartphones atualmente em uso estão vulneráveis a ataques e que esses são difíceis de detectar e praticamente impossíveis de serem barrados por softwares antivírus, pois tentativas de ataque são praticamente indistinguíveis de softwares benignos. Ainda não se sabe, também, se elas já foram executadas em ambientes de produção.
Queda nas ações
As ações da Intel chegaram a cair 4,6% nesta quarta-feira (3), após a notícia da falha Meltdown ter sido publicada no The Register.
O Business Insider divulgou que Brian Krzanich, CEO da Intel, vendeu o equivalente a US$ 24 milhões em ações no final de novembro passado, meses após as falhas terem sido reveladas à fabricante pelo Project Zero do Google. Krzanich manteve o mínimo de ações da Intel que seu contrato de trabalho exige (250 mil). O movimento chamou a atenção após a divulgação da falha. Segundo a Intel, a venda já estava planejada há meses, não tendo relação com o caso.
Correções
Houve uma ação coordenada entre as fabricantes de processadores e de sistemas operacionais a fim de coincidir a divulgação das falhas com a liberação de correções.
A Microsoft, que costuma liberar correções na segunda terça-feira do mês, antecipou a do Windows 10. Embora não esteja claro se essa será a única correção relacionada às falhas Meltdown e Spectre, ela já começou a ser distribuída via Windows Update. Versões anteriores ainda suportadas (Windows 7 e 8) também serão atualizadas, mas a distribuição automática seguirá o cronograma padrão, ou seja, será liberada na próxima terça (9).
A Apple implementou mudanças no macOS 10.13.2, já disponível para download e o Linux também recebeu correções.