Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

InformazioniVulnerabilità

Microsoft rilascia un aggiornamento per disabilitare le mitigazioni per gli attacchi Spectre

microsoft  Spectre   lunedì, 29 gennaio 2018

In data 27 gennaio 2017, Microsoft ha rilasciato un aggiornamento di emergenza out-of-band (fuori banda, ossia fuori dal canale ufficiale di aggiornamento) per Windows che disabilita le patch precedentemente rilasciate per mitigare gli attacchi Spectre di tipo 2 (CVE-2017-5715).

L’aggiornamento riguarda le seguenti release dei sistemi Microsoft Windows:

  • Windows 7 Service Pack 1
  • Windows 8.1
  • Windows 10
  • Windows 10 Version 1511
  • Windows 10 Version 1607
  • Windows 10 Version 1703
  • Windows 10 version 1709
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 R2 Standard

Intel ha di recente ammesso che gli aggiornamenti del firmware rilasciati fino ad ora per i propri processori al fine di contrastare le minacce Spectre e Meltdown, causano problemi di instabilità e di riavvii anomali, con possibile perdita di dati, su diversi sistemi sia client, sia server. In particolare, i sistemi maggiormente affetti sembrerebbero essere quelli equipaggiati con CPU con architetture Haswell e Broadwell (tra questi, tutti i processori Core i5 e i7 di quarta e quinta generazione).

In conseguenza di tali dichiarazioni, Microsoft ha deciso di disabilitare le mitigazioni per Spectre tipo 2, almeno fino a quando Intel non svilupperà delle soluzioni più affidabili.

Si raccomanda ai gestori e agli utenti di sistemi Microsoft Windows di prendere visione del seguente avviso di sicurezza di Microsoft (in Inglese):

Qualora non risultasse possibile installare l’aggiornamento sulle proprie macchine, nell’avviso di Microsoft sono fornite altresì istruzioni per gli utenti esperti e gli amministratori di sistema su come disabilitare le mitigazioni per Spectre tipo 2 intervenendo direttamente sul Registro di Sistema.

Microsoft non è l’unico produttore ad aver deciso di sospendere o ritirare gli aggiornamenti per Spectre tipo 2 dopo l’annuncio di Intel. Si riportano di seguito per informazione gli avvisi di Dell, HP, Lenovo e Red Hat (in Inglese):

Notizie correlate

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2020)

15 gennaio 2020

Nella giornata del 14 gennaio 2020 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2019)

11 dicembre 2019

Nella giornata del 10 dicembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto