Meltdown, Spectre e Ubuntu: che cosa è necessario sapere

Con il passare del tempo è diventato sempre più chiaro il funzionamento delle vulnerabilità Meltdown e Spectre: sono infatti state rilasciate numerose pubblicazioni dai vari fornitori di software, e anche Canonical ha pubblicato avvisi e aggiornamenti sulle patch, l'ultima delle quali include un primo round di mitigazioni di Spectre. Le vulnerabilità dipende dalla CPU, e le mitigazioni trovano un importante compromesso tra prestazioni e sicurezza.
 
Queste due vulnerabilità permettono ai programmi in esecuzione su un computer di accedere a tutti i dati in memoria, inclusi quelli riservati e protetti a cui non dovrebbero aver accesso. Questo deriva dal fatto che un programma dannoso può abusare di una funzionalità della CPU pensata per rendere il computer più veloce, portandola ad esporre (seppur lentamente nel caso di Spectre) tutti i dati contenuti nella memoria RAM.
 
Sebbene un utente malintenzionato non possa utilizzare direttamente Meltdown o Spectre per leggere i file contenuti nei dischi o modificare dati, il problema è che password, chiavi ecc. sono solitamente memorizzate in modo non criptato in memoria. Quindi il malintenzionato, una volta rubati i dati, può utilizzarli per modificare il sistema o ottenere informazioni riservate. Sono stati già pubblicati programmi di esempio che mostrano come sfruttare queste vulnerabilità, dimostrando quanto è stato scoperto dai ricercatori in maniera teorica:
 
  •  Lettura delle password digitate nei Browser Web, lettura delle immagini visualizzate su una pagina Web da un’applicazione malevola separata in esecuzione sulla stessa macchina;
  • Negli ambienti virtualizzati, è possibile per una macchina virtuale leggere la memoria del server fisico che la ospita, e di conseguenza delle altre macchine virtuali ospitate
 
Questi problemi riguardano praticamente tutti i computer venduti negli ultimi decenni, quindi per trarre beneficio delle mitigazioni fornite è necessario che:
 
  •  Il sistema operativo e il codice dell’applicazione interessato devono essere corretti;
  • Per una protezione completa contro Spectre, il microcodice della CPU o il firmware del sistema dovranno essere aggiornati;
  • Le protezioni del sistema operativo devono essere attive.
 
Ubuntu fornisce aggiornamenti di sicurezza gratuiti per tutti gli utenti e gli aggiornamenti installeranno in modo automatico tutto il codice necessario. Purtroppo però, le protezioni disponibili hanno un impatto significativo sulle prestazioni alcune tipologie di uso dei computer.