In veste di responsabile informatico sto seguendo con molta attenzione gli sviluppi relativi alle vulnerabilità Meltdown e Spectre che affliggono, tra gli altri, i processori di Intel. In particolare sto cercando di capire se nella mia azienda possano verificarsi le incompatibilità relative ai software antivirus che sono state segnalate in alcuni forum. Mi riferisco al caso in cui l’antivirus impedirebbe l’installazione della patch che Microsoft ha sviluppato per risolvere (o almeno mitigare) l’impatto delle vulnerabilità sopra indicate. Avete informazioni specifiche su questo problema? Quali antivirus potrebbero bloccare l’aggiornamento?
Lettera firmata, via Internet
Le vulnerabilità Meltdown e Spectre fanno leva su particolari condizioni che si verificano durante l’esecuzione speculativa, ovvero gli schemi che consentono al processore di conoscere “in anticipo” il risultato finale di una elaborazione. Questi meccanismi di ottimizzazione possono creare situazioni in cui un processo utente ottiene l’accesso a dati che appartengono a un altro applicativo oppure anche allo stesso nucleo del sistema operativo.
Microsoft sta sviluppando una serie di aggiornamenti per mitigare i rischi di queste vulnerabilità ma la loro implementazione comporta la necessità di impedire l’esecuzione di alcune funzioni non documentate del nucleo di Windows. Queste funzioni non sono normalmente utilizzate dalle applicazioni ma possono invece risultare utili per i motori di scansione degli antivirus. Le patch sviluppate da Microsoft potrebbero quindi rendere inutilizzabili alcune suite di sicurezza informatica e, per non lasciare i computer privi di protezione, è fondamentale che gli antivirus vengano aggiornati prima di installarle.
Ad aggravare il problema vi è il fatto che alcuni antivirus, pur essendo stati aggiornati, non comunicano al sistema operativo l’assenso all’installazione della patch. Alla data in cui scriviamo gli antivirus che risultano ancora non aggiornati sono BitDefender, Carbon Black, Cisco Amp, Cyren F-Prot, G-Data, Palo Alto Traps e Vipre. Sono invece già stati aggiornati ma non comunicano questa caratteristica al sistema operativo Crowstrike Falcon, Cylance Protect, EndGame, Fortinet, McAfee EndPoint Protection, Nyotron Paranoid, SentinelOne Epp, Sophos, TrendMicro e WebRoot.
A volte la situazione può essere risolta modificando un’apposita chiave nel Registro di configurazione ma sarebbe preferibile aspettare che fossero i produttori di questi antivirus a farlo, eventualmente dopo aver condotto test approfonditi sul corretto funzionamento delle modifiche.
Riteniamo comunque che, quando leggerete questa rubrica, tutti gli antivirus sopra elencati saranno stati già aggiornati alle nuove specifiche e che quindi non costituiranno più un impedimento all’installazione delle patch rilasciate da Microsoft per le vulnerabilità Meltdown e Spectre.
(tratto dalla Rubrica POSTA del numero 323 di PC Professionale, vi ricordiamo che per questioni di tipo tecnico o comunque legate al funzionamento o al malfunzionamento di hardware o software potete scrivere all’indirizzo di posta elettronica: rubrica.posta@pcprofessionale.eu
Compatibilmente con la natura del problema cercheremo di rispondere sulle pagine del giornale. Non vengono fornite risposte dirette via mail.)