Menu

Recentemente pesquisadores revelaram uma nova falha que possibilita roubo de informações do SGX (Software Guard eXtensions) da Intel, que funciona como uma caixa preta com as princpais informações dos usuários.

De uma forma simplificada, essa vulnerabilidade explora a otimização dos processadores que tenta prever instruções futuras antes que elas sejam executadas, fazendo com que um sistema vulnerável execute algum código em JavaScript, que pode estar embutido em algum programa instalado ou até mesmo em sites maliciosos ou hackeados.

Esse ataque, denominado “Load Value Injection”, explora canais secundários que acaba abrindo informações sigilosas armazenadas em cache de outros programas e aplicativos, devolvendo essas informações para algum servidor externo, gerando o risco de diversas informações como senhas e dados pessoais serem roubados.

Até o momento não existe uma atualização que evite completamente essa vulnerabilidade, já que ela faz parte da arquitetura física dos processadores, entretanto a Intel vem trabalhando para mitigar os riscos.


Intel liberou a lista de processadores afetados
imagem ilustrativa

Chips que tem fixes de hrdware para defesa contra atques de “Meltdown” não são mais vulnerais a “Load Value Injection”. Os riscos podem também serem reduzidos com uso de sistemas operacionais como Linux, onde algumas de suas versões não permitem mapeamento de endereços virtuais, outra alternativa é a arquitetura utilizada na linha server, que core riscos muito menores de ser afetada por esses ataques devido a segurança redundante em hardware.

Para o público leigo, a nossa recomendação é verificar se o processador de seu notebook ou desktop está na lista de processadores em risco, caso ele esteja em risco é recomendado evitar o uso de aplicativos de bancos ou senhas importantes, pelo menos até a intel trazer uma solução definitiva, e além disso manter o bom senso, evitar sites perigosos e programas desconhecidos.

Para empresas e profissionais que dependem de equipamentos da intel, fica a recomendação de falar com sua área técnica sobre as vulnerabilidades e medidas de segurança.