04/03/2019 di Redazione

Bug Spectre, Windows 10 prende in prestito le armi di Google

Microsoft ha integrato nella versione 1809 del sistema operativo la tecnica Retpoline, sviluppata da Big G, per mitigare l’impatto della vulnerabilità contenuta nei processori. Adobe ha rilasciato una patch per Coldfusion.

immagine.jpg

Google arriva in soccorso degli utilizzatori di Windows 10. In queste ore Microsoft ha rilasciato l’aggiornamento cumulativo Kb4482887 per la versione 1809 del proprio sistema operativo (la più recente): il nuovo software contiene la patch per la vulnerabilità hardware Spectre v2 emersa più di un anno fa. La risoluzione, sviluppata da ingegneri di Google, è basata sulla tecnica di mitigazione Retpoline (return trampoline), che isola le diramazioni indirette dall’esecuzione speculativa (alla base dei bug Spectre e Meltdown), proteggendo così i file binari da possibili attacchi. Retpoline è una delle patch più affidabili per le falle contenute nei processori (oltre alle modifiche all’architettura dei chip di Intel), anche perché non fa degradare le prestazioni delle Cpu.

Nei mesi scorsi Retpoline è stata applicata da Big G anche ai propri server Linux ed è stata progressivamente introdotta anche nelle principali distribuzioni (Red Hat, Suse, Ubuntu e Oracle Linux 6 e 7). Microsoft ha iniziato a lavorare l’anno scorso all’integrazione della mitigazione nel kernel di Windows 10, ma inizialmente l’obiettivo era rilasciare la patch con l’update 19h1 atteso ad aprile.

Evidentemente, i tecnici del colosso di Redmond sono riusciti ad accelerare lo sviluppo. Purtroppo, Retpoline non è stata distribuita per le build più vecchie del sistema operativo, a causa della “complessità dell’implementazione e delle modifiche necessarie”, ha spiegato Mehmet Iyigun, development manager del Windows Kernel Team.

In queste ore anche Adobe ha deciso di aggiornare i propri sistemi, dopo che si è sparsa la voce di una serie di attacchi zero-day diretti a un bug di Coldfusion. La vulnerabilità stata etichettata come critica: per sfruttarla è necessario “caricare del codice eseguibile su una directory accessibile da Web e, a quel punto, eseguire il codice tramite una richiesta Http. Limitare le richieste alle cartelle dove vengono salvati i file mitiga l’attacco”, ha spiegato Adobe in un bollettino di sicurezza.

La falla (Cve-2019-7816) riguarda tutte le principali versioni della piattaforma di sviluppo Coldfusion, ma le patch sono disponibili soltanto per le release ancora supportate, vale a dire le numero 11, 2016 e 2018. La gravità della situazione ha spinto l’azienda a intervenire prima dell’usuale aggiornamento mensile, che coincide con il Patch Tuesday di Microsoft, fissato il 12 marzo.

 

ARTICOLI CORRELATI