Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

InformazioniVulnerabilità

Microsoft rilascia un aggiornamento per disabilitare le mitigazioni per gli attacchi Spectre

microsoft  Spectre   lunedì, 29 gennaio 2018

In data 27 gennaio 2017, Microsoft ha rilasciato un aggiornamento di emergenza out-of-band (fuori banda, ossia fuori dal canale ufficiale di aggiornamento) per Windows che disabilita le patch precedentemente rilasciate per mitigare gli attacchi Spectre di tipo 2 (CVE-2017-5715).

L’aggiornamento riguarda le seguenti release dei sistemi Microsoft Windows:

  • Windows 7 Service Pack 1
  • Windows 8.1
  • Windows 10
  • Windows 10 Version 1511
  • Windows 10 Version 1607
  • Windows 10 Version 1703
  • Windows 10 version 1709
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 R2 Standard

Intel ha di recente ammesso che gli aggiornamenti del firmware rilasciati fino ad ora per i propri processori al fine di contrastare le minacce Spectre e Meltdown, causano problemi di instabilità e di riavvii anomali, con possibile perdita di dati, su diversi sistemi sia client, sia server. In particolare, i sistemi maggiormente affetti sembrerebbero essere quelli equipaggiati con CPU con architetture Haswell e Broadwell (tra questi, tutti i processori Core i5 e i7 di quarta e quinta generazione).

In conseguenza di tali dichiarazioni, Microsoft ha deciso di disabilitare le mitigazioni per Spectre tipo 2, almeno fino a quando Intel non svilupperà delle soluzioni più affidabili.

Si raccomanda ai gestori e agli utenti di sistemi Microsoft Windows di prendere visione del seguente avviso di sicurezza di Microsoft (in Inglese):

Qualora non risultasse possibile installare l’aggiornamento sulle proprie macchine, nell’avviso di Microsoft sono fornite altresì istruzioni per gli utenti esperti e gli amministratori di sistema su come disabilitare le mitigazioni per Spectre tipo 2 intervenendo direttamente sul Registro di Sistema.

Microsoft non è l’unico produttore ad aver deciso di sospendere o ritirare gli aggiornamenti per Spectre tipo 2 dopo l’annuncio di Intel. Si riportano di seguito per informazione gli avvisi di Dell, HP, Lenovo e Red Hat (in Inglese):

Notizie correlate

Avviso di sicurezza di Microsoft per vulnerabilità in Windows Defender Application Control (WDAC)

18 luglio 2019

Microsoft ha pubblicato un avviso di sicurezza che riguarda una vulnerabilità di gravità elevata in Windows Defender Application Control (WDAC).Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (luglio 2019)

10 luglio 2019

Nella giornata del 9 luglio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (giugno 2019)

12 giugno 2019

Nella giornata dell'11 giugno 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto