/ notes / ... / 0107.3e2c.html

Meltdown & Spectre: upgrade your software!

The Riseup Birds

From: newsletter@lists.riseup.net
Subject: Security Bulletin
Date: 2018-01-06

As you have probably read, there are three related security problems in
contemporary CPUs. These vulnerabilities open the potential for a nefarious
program to steal passwords, secrets, and personal information from you computer,
even if the program is just Javascript loaded from a web site you visit. These
vulnerabilities are as serious as they sound, and you should take action to
upgrade your software.

- The first flaw, called "Meltdown," affects nearly all Intel CPUs and has been
  fixed with updates to most operating systems.

- The two other flaws, called "Spectre," apply to nearly all CPUs built in the
  last 20 years, not just Intel, although they are more difficult to
  exploit. There are no permanent fixes for Spectre available at this time,
  although if you update your software you will make these attacks much less
  likely.

You should take *both* these steps now, for all your devices:

(1) Upgrade your web browser (see below). These fixes make the new attacks
    against CPUs more much difficult.

(2) Upgrade your operating system. There are updates available for Windows,
    macOS, and GNU/Linux that fix the Meltdown vulnerability for Intel CPUs and
    provide some mitigations for Spectre. Additionally, new releases of iOS and
    Android have mitigations for Spectre.

Better fixes will continue to arrive in the next weeks/months for your operating
system and software. Please keep your system up to date!

Browsers
-------------------------

By updating your browser, you can make it significantly harder for an attacker
to steal secrets off your computer using Javascript loaded from a web site you
visit.

Firefox version 57.0.4 and later includes mitigation measures against Spectre
attack [1].

Edge has been updated to include Spectre migitations. When you apply the latest
Windows update, you will get the new version of Edge.

Safari will be updated very soon, according to Apple. Check the App Store
updates.

Chrome will include Spectre mitigations starting with version 64, to be released
Jan 23. In the mean time, you can change your configuration to greatly mitigate
against the Spectre vulnerability by enabling "site isolation"
https://support.google.com/chrome/answer/7623121?hl=en

Additionally, please see https://riseup.net/en/better-web-browsing for
instructions on best practices for securing your web experience (which will also
help mitigate against these new attacks).

Windows
-------------------------

For Windows 10, you must first upgrade any anti-virus software before upgrading
Windows. Failure to do so may make your computer stop working. [2]

To upgrade Windows 10:

> Select the Start button, and then go to Settings > Update & security > Windows
Update, and select Check for updates.

Now is a good time to enable automatic updates:

> Select the "Start" button, then select "Settings" > "Update & security" >
"Windows Update" > "Advanced options" and then under "Choose how updates are
installed", select "Automatic (recommended)".

If you are running Windows 7 or 8, an update is also available.

macOS
-------------------------

If you already have macOS version 10.13.2 then you are protected against
Meltdown [3]. Otherwise, to upgrade macOS:

> Open the App Store app on your Mac. Click "Updates" in the App Store toolbar,
then use the "Update" buttons to download and install any updates listed.

Now is a good time to check enable automatic updates:

> Select the Apple menu, then select "System Preferences" > "App Store" >
"Automatically check for updates".

Apple plans to soon release an update to Safari browser to provide some
mitigation against Spectre.

iOS
-------------------------

Apple has said that iOS is affected by Spectre, and an update to mitigate
against most of the new attacks has been released. If you have iOS version 11.2
or later, then you are good [3]. To check for new updates, go to Settings >
General > Software Update.

Android
-------------------------

The bad news is that Android is vulnerable to Spectre and unless you have a
Google-branded phone or run a custom firmware you might not get an update for
months, if ever. However, the consensus among security researchers at the moment
is that the Spectre attack is difficult enough that there are probably easier
ways to compromise an Android device. Yeah?

There is one thing you can do now to make your Android device more safe against
these new CPU attacks:

- Turn on "site isolation" in Chrome:
  https://support.google.com/chrome/answer/7623121?hl=en
- Upgrade Chrome Browser after Jan 23.
- Alternately, use Firefox for Android.

Debian/Ubuntu GNU/Linux
-------------------------

Run "Software Center" or "Software Updater."

Alternately, open a terminal and type:

   sudo apt update
   sudo apt upgrade
   sudo reboot

Fedora GNU/Linux
------------------------

Open a terminal and type:

   sudo dnf --refresh update kernel
   sudo reboot

Stay safe, keep strong,
The Riseup Birds

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394


[es] Boletín de seguridad de Riseup
===================================================================

Como probablemente has leído, hay 3 problemas de seguridad relacionados a la CPU
de tu computadora, los que le abren el camino que ciertos programas puedan robar
tus contaseñas, secretos e información personal de tu computadora, incluyendo
programas en Javascript que se ejecutan cuando estás visitando un sitio
web. Estas vulernabilidades son tan serias como suenan, y debes tomar un rol
activo en actualizar tu software.

- El primer problema se le denomina "Meltdown," que afecta casi todas las CPU
  Intel y que se encuentra solucionado por todos la mayoría de los sistemas
  operativos.

El segundo se llama "Spectre," afecta a casi todas las CPU fabricadas en los
últimos 20 años, no solo Intel. Si bien es una vulnerabilidad más dificil de
explotar, no hay una solución permanente para ella hoy.

Debes realizar ya los siguientes pasos, para todos tus disposivitos:

(1) Actualiza tu navegador (revisa cómo más abajo). Estos arreglos harán más
    complejo explotar los problemas mencionados arriba.

(2) Actualiza tu sistema operativo. Hay actualizaciones para Windows, macOS y
    GNU/LINUX que solucionan Meltdown para procesadores Intel. Adicionalmente,
    iOS y Android refuerzan las protecciones contra Spectre.

Mejores soluciones a estos problemas seguirán llegando en las próximas
semanas/meses para tu sistema operativo como software. Por favor manten tu
computadora actualizada!

Navegadores
-------------------------

Al actualizar tu navegador puedes hacer mucho más difícil para alguien intentar
robar tus secretos cuando visitas una página web.

Firefox 57.0.4 y posteriores incluyen protecciones contra los problemas de
Spectre [1].

Edge también ha sido actualizado con protecciones contra Spectre. Cuando
actualices Windows, también recibirás la nueva versión ed Edge.

Safari será actualizado pronto, de acuerdo a Apple. Revisa la actualización en
la App Store.

Chrome incluirá protecciones desde la versión 64, que se publicará el 23 de
enero. Mientras tanto, puedes cambiar la configuración de Chrome para protegerte
activando "site isolation"
https://support.google.com/chrome/answer/7623121?hl=en

Adicionalmente puedes revisar las instrucciones en
https://riseup.net/en/better-web-browsing para mejorar tu seguridad y
experiencia navegando (lo que también ayuda a mitigar estos y otros ataques).

Windows
-------------------------

Para Windows 10, debes actualizar cualquier antivirus (si usas) antes de
actualizar Windows. No hacerlo puede prodocir otros problemas. [2]

Para actualizar Windows 10:

> Presiona el botón Inicio (Start), y luego entra a Configuraciones ->
Actualizaciones y seguridad -> Actualización de Windows (Settings > Update &
security > Windows Update), y selecciona Ver si hay actualizaciones (Check for
updates).

Este es un buen momento para habilitar que tu sistema se actualice
automáticamente:

> Select the "Start" button, then select "Settings" > "Update & security" >
"Windows Update" > "Advanced options" and then under "Choose how updates are
installed", select "Automatic (recommended)".

Si estás usando Windows 7 u 8, también hay una actualización disponible.

macOS
-------------------------

Si ya tienes macOS versión 10.13.2 ya estás protegidx contra Meltdown [3]. De
otra forma, actualiza macOS:

> Entra a la App Store en tu Mac. Presiona "Actualizaciones" y luego actualiza
todos tus programas.

Es un buen momento para habilitar las actualizaciones automáticas:

> En el menú de Apple (la manzanita), selecciona "Preferencias" > "App Store" >
"Buscar actualizaciones automáticamente".

Apple planea actualizar Safari pronto para brindar mitigaciones contra
Spectre. ¡Mantén tu software actualizado!

iOS
-------------------------

Apple has said that iOS is affected by Spectre, and an update to mitigate
against most of the new attacks has been pushed. If you have iOS version 11.2 or
later, then you are good.

Apple indicó que sus dispositivos iOS se encuentran afectados por Spectre y han
actualizado el sistema operativo para brindar protecciones contra éste. Si
tienes la versión 11.2 o posterior, estás bien! [3]

Android
-------------------------

Las malas noticias son que a menos que tengas un teléfono Google o que corras un
firmware especial puede que no obtengas los parches de seguridad por meses. Sin
embargo, el consenso es que los ataques usando Spectre son difícil de ejecutar y
que hay formas más fáciles de "hackear" un dispositivo android. Si tienes
actualizaciones disponibles, por favor aplícalas.

De todas formas hay cosas que puedes hacer para protegerte:

- Habilita "site isolation" en Chrome:
  https://support.google.com/chrome/answer/7623121?hl=en
- Actualiza Chrome el 23 de enero.
- Usa Firefox para Android

Debian/Ubuntu GNU/Linux
-------------------------

Actualiza tu sistema mediante "Software Center" o "Software Updater."

Alternativa, abre un terminal y ejecuta:

   sudo apt update
   sudo apt upgrade
   sudo reboot

Fedora GNU/Linux
------------------------

Abre un terminal y ejecuta:

   sudo dnf --refresh update kernel
   sudo reboot

Manténgase a salvo y manténganse fuertes,
Las aves de Riseup

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394


[fr] Bulletin de sécurité Riseup
===================================================================

Comme vous l'avez probablement lu, il y a trois problèmes de sécurité majeurs
avec les processeurs modernes. Ces vulnérabilités ont le potentiel de permettre
à un programme malveillant de voler vos mots de passe, vos données sensibles et
vos informations personnelles sur votre ordinateur, même si le programme n'est
qu'un simple script javascript sur une page web que vous visistez. Ces failles
sont très préoccupantes et vous devriez prendre tous les moyens nécessaires pour
mettre à jour vos logiciels.

- La première faille, appelé « Meltdown, » touche presque tous les processeurs
  Intel et a été corrigé par les dernières mises à jour de la majorité des
  système d'exploitation.

- Les deux autres failles, appelé « Spectre, » touchent presque tous les
  processeurs construit dans les 20 dernières années et pas seulement ceux
  d'Intel. Cepenmdant, ces dernières sont plus difficile à exploiter. Il n'y a
  pas de correctif permanent pour Spectre en ce moment, mais si vous mettez à
  jour vos logiciels, vous rendrez ces attaques plus difficiles à effectuer.

Vous devriez effectuer les *deux* étapes suivantes pour tous vos appareils :

(1) Mettre à jour votre navigateur Web (voir plus bas). Ces correctifs rendent
    ces nouvelles attaques contre les processeurs beaucoup plus difficile à
    effectuer.

(2) Mettre a jour votre système d'exploitation. Il y a des mises à jour
    disponibles pour Windows, Mac OS et GNU/Linux qui corrigent la vulnéralibité
    Metldown pour les processeurs Intel. De plus, les dernières versions de iOS
    et de Android pubilées réduisent la possibilité d'utiliser Spectre.

De meilleurs conrrectifs continuront d'être publiés dans les semaines et mois à
venir afin de mieux protéger votre système d'exploitation et vos logiciels. S'il
vous plait, gardez votre système à jour!

Navigateurs
-------------------------

En mettant à jour votre navigateur, vous pouvez rendre la tâche beaucoup plus
difficile à une personne voulant voler vos données confidentiels à l'aide d'un
script chargé sur une page web que vous consultez.

Les versions 57.0.1 et suivantes de Firefox intègrent des mesures d'atténuations
de la faille Spectre [1].

Edge a été mis à jour pour inclure des mesures d'atténuations. Lorsque vous
allez faire les mises à jour Windows, vous allez obtenir la dernière version de
Edge.

Safari sera mis à jour très prochainement, selon Apple. Consultez le App Store
pour les dernières mises à jour.

Google Chrome intègrera des mesures d'atténuations dès la version 64 qui sera
publiée le 23 janvier prochain. D'ici là, vous pouvez changer votre
configuration pour réduire les risques de la faille Spectre en activant «
l'isolation des sites » https://support.google.com/chrome/answer/7623121?hl=fr

De plus, veuillez consulter
https://riseup.net/fr/security/network-security/better-web-browsing pour plus
d'instructions sur les bonnes pratiques de navigation en ligne (ces bonnes
pratiques aideront aussi à réduire les risques d'attaques).

Windows
-------------------------

Pour Windows 10, vous devez premièrement mettre à jour votre antivirus avant de
mettre à jour Windows. En cas contraire, des erreurs pouvant faire en sorte que
votre ordinateur arrête de fonctionner peuvent se produirent [2].

Pour mettre à jour Windows 10:

> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à
jour & Sécurité » > « Windows Update » et sélectionné « Rechercher les mises à
jour ».

C'est aussi un bon moment pour activer les mises à jour automatiques.

> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à
jour & Sécurité » > « Windows Update » > « Options avancées ». Sous le menu «
choisissez comment les mises à jour sont installées » sélectionné «
Automatiquement (Recommandé) ».

Si vous utilisez Windows 7 ou 8, des mises à jour sont aussi disponibles.

macOS
-------------------------

Si vous avez déjà la version 10.13.2 de macOS, vous êtes protégé contre
Meltdown[3]. Si ce n'est pas le cas, mettez à jour OSX.

> Ouvrez l'App Store sur votre Mac et sélectionnez l'onglet « Mises à jour ».
Puis cliquez sur le bouton « Mettre à jour » pour télécharger et installer
les mises à jour disponibles.

C'est aussi un bon moment pour activer les mises à jour automatiques.

> Cliquez sur la pomme en haut à gauche et allez dans « Préférences
systèmes... » > « App Store » et cocher la case « Recherche des mises à jour
automatique »

Apple planifie publier une mise à jour du navigateur Safari qui intègrera des
aténuations pour la faille Spectre.

iOS
-------------------------

Apple a confirmé que iOS était touché par Spectre et qu'une mise à jour avait
été publié pour aténué les possibilités d'attaques. Si vous avez les versions
11.2 ou plus récente de iOS vous êtes correct. Si ce n'est pas le cas, mettez à
jour votre appareil [3].

Android
-------------------------

La mauvaise nouvelle est qu'Android est vulnérable et qu'à moins d'avoir un
cellulaire ayant directement les mises à jour de Google ou utilisant un firmware
modifié, il est possible que vous n'ayez pas de mise à jour avant des mois voire
que vous n'en ayez jamais. Cependant, le consensus chez les chercheurs en
sécurité, en ce moment, est que l'attaque Spectre est assez difficile qu'il y a
probablement des façons plus faciles de compromettre un appareil Android. Yeah?

Il y a une chose que vous pouvez faire pour rendre votre apareil Android plus
sécuritaire face à ces attaques contre les processeurs :

- Activer « l'isolation des sites Web » dans Chrome:
  https://support.google.com/chrome/answer/7623121?hl=fr
- Mettre à jour Chrome après le 23 janvier prochain.
- Ou utiliser Firefox for Android.

Debian/Ubuntu GNU/Linux
-------------------------

Ouvrez le « Centre de logiciel » ou le « Centre de mise à jour » et faites vos
mises à jour.

Sinon, vous pouvez ouvrir un terminal et tapez les commandes suivantes :

   sudo apt update
   sudo apt upgrade
   sudo reboot

Fedora GNU/Linux
------------------------

Ouvrez un terminal et taper les commandes suivantes :

   sudo dnf --refresh update kernel
   sudo reboot

Restez en sécurité, restez fort
Les oiseaux Riseup

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394