Microsoft lança o “Patch do Patch”

Nunca confie em um produto até a versão três, no mínimo!

Microsoft lança o “Patch do Patch” . A Microsoft divulgou no último dia 29 uma atualização de segurança de emergência para corrigir uma atualização de segurança emitida no início deste mês para corrigir uma atualização de segurança emitida em janeiro e fevereiro. Em janeiro e fevereiro, a Microsoft emitiu correções para máquinas Windows 7 e Server 2008 R2 para combater a vulnerabilidade no nível do chip Meltdown nos modernos processadores Intel x64. Infelizmente, esses patches causaram uma grande lacuna nos sistemas operacionais: aplicativos normais e usuários logados podem agora acessar e modificar qualquer parte da RAM física e obter controle total sobre uma caixa, com as atualizações instaladas.

Em vez de impedir que programas e não administradores explorem o Meltdown para extrair senhas e outros segredos da memória do kernel protegida, as correções no Windows 7 e no Server 2008 R2, em vez disso, concedem privilégios totais de leitura e gravação à RAM do sistema.

Em março, a Microsoft lançou correções no Patch Tuesday para corrigir as atualizações de janeiro e fevereiro para fechar a vulnerabilidade de segurança que abriu acidentalmente. Exceto que a atualização de março não encerrou totalmente o acordo: o bug permaneceu no kernel e foi explorado por softwares e usuários mal-intencionados.

Meltdown

As vulnerabilidades Meltdown e Spectre  são vulnerabilidades de “baixo” nível, se é que se pode chamar assim, e que são causadas por “falhas” de arquiteturas nos processadores, e por isto são muito difíceis de serem contornadas por software. O que a Microsoft, Linux e Apple tentam é remediar a falha com controles externos de gerenciamento, no entanto aqui mesmo no Blog Minuto da Segurança já noticiamos que algumas destas correções impactaram fortemente a performance ou comprometem o funcionamento e segurança dos processos, como as atualizações de janeiro e fevereiro, a ponto da Intel recomendar a não aplicação dos patches. Devemos reconhecer que a Microsoft e demais desenvolvedoras de sistema se esmeram em buscar soluções, no entanto o velho ditado parece permacer verdadeiro: “nunca confie em um produto até a versão três, no mínimo

Confirmando este cenário a Microsoft acaba de lançar um patch para um patch.  Então, se você estiver usando o Windows 7 ou o Server 2008 R2 e tiver aplicado os patches do Microsoft Meltdown, convém baixar e instalar a atualização CVE-2018-1038. O pesquisador sueco Ulf Frisk descobriu que as mitigações de janeiro e fevereiro do Meltdown para o Win7 e o Server 2008 R2 foram quebradas, e veio a público com suas descobertas uma vez que o Patch Week de março havia começado. Acontece que as atualizações deste mês não consertaram totalmente as coisas, e a Microsoft teve que se esforçar para remediar o que agora era uma vulnerabilidade de dia zero no Windows 7 e no Server 2008.

fonte: The Register

 

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Nova variante do Spectre e Meltdown afeta Intel, AMD, ARM e IBM

Deixe sua opinião!