[en] Riseup Security Bulletin
[es] Boletín de seguridad de Riseup
[fr] Bulletin de sécurité Riseup
As you have probably read, there are three related security problems in contemporary CPUs. These vulnerabilities open the potential for a nefarious program to steal passwords, secrets, and personal information from you computer, even if the program is just Javascript loaded from a web site you visit. These vulnerabilities are as serious as they sound, and you should take action to upgrade your software.
* The first flaw, called “Meltdown,” affects nearly all Intel CPUs and has been fixed with updates to most operating systems.
* The two other flaws, called “Spectre,” apply to nearly all CPUs built in the last 20 years, not just Intel, although they are more difficult to exploit. There are no permanent fixes for Spectre available at this time, although if you update your software you will make these attacks much less likely.
You should take *both* these steps now, for all your devices:
(1) Upgrade your web browser (see below). These fixes make the new attacks against CPUs more much difficult.
(2) Upgrade your operating system. There are updates available for Windows, macOS, and GNU/Linux that fix the Meltdown vulnerability for Intel CPUs and provide some mitigations for Spectre. Additionally, new releases of iOS and Android have mitigations for Spectre.
Better fixes will continue to arrive in the next weeks/months for your operating system and software. Please keep your system up to date!
Browsers
————————-
By updating your browser, you can make it significantly harder for an attacker to steal secrets off your computer using Javascript loaded from a web site you visit.
Firefox version 57.0.4 and later includes mitigation measures against Spectre attack [1].
Edge has been updated to include Spectre migitations. When you apply the latest Windows update, you will get the new version of Edge.
Safari will be updated very soon, according to Apple. Check the App Store updates.
Chrome will include Spectre mitigations starting with version 64, to be released Jan 23. In the mean time, you can change your configuration to greatly mitigate against the Spectre vulnerability by enabling “site isolation” https://support.google.com/chrome/answer/7623121?hl=en
Additionally, please see https://riseup.net/en/better-web-browsing for instructions on best practices for securing your web experience (which will also help mitigate against these new attacks).
Windows
For Windows 10, you must first upgrade any anti-virus software before upgrading Windows. Failure to do so may make your computer stop working. [2]
To upgrade Windows 10:
> Select the Start button, and then go to Settings > Update & security > Windows Update, and select Check for updates.
Now is a good time to enable automatic updates:
> Select the “Start” button, then select “Settings” > “Update & security” > “Windows Update” > “Advanced options” and then under “Choose how updates are installed”, select “Automatic (recommended)”.
If you are running Windows 7 or 8, an update is also available.
macOS
If you already have macOS version 10.13.2 then you are protected against Meltdown [3]. Otherwise, to upgrade macOS:
> Open the App Store app on your Mac. Click “Updates” in the App Store toolbar, then use the “Update” buttons to download and install any updates listed.
Now is a good time to check enable automatic updates:
> Select the Apple menu, then select “System Preferences” > “App Store” > “Automatically check for updates”.
Apple plans to soon release an update to Safari browser to provide some mitigation against Spectre.
iOS
Apple has said that iOS is affected by Spectre, and an update to mitigate against most of the new attacks has been released. If you have iOS version 11.2 or later, then you are good [3]. To check for new updates, go to Settings > General > Software Update.
Android
The bad news is that Android is vulnerable to Spectre and unless you have a Google-branded phone or run a custom firmware you might not get an update for months, if ever. However, the consensus among security researchers at the moment is that the Spectre attack is difficult enough that there are probably easier ways to compromise an Android device. Yeah?
There is one thing you can do now to make your Android device more safe against these new CPU attacks:
* Turn on “site isolation” in Chrome: https://support.google.com/chrome/answer/7623121?hl=en
* Upgrade Chrome Browser after Jan 23.
* Alternately, use Firefox for Android.
Debian/Ubuntu GNU/Linux
Run “Software Center” or “Software Updater.”
Alternately, open a terminal and type:
sudo apt update
sudo apt upgrade
sudo reboot
Fedora GNU/Linux
Open a terminal and type:
sudo dnf –refresh update kernel
sudo reboot
Stay safe, keep strong,
The Riseup Birds
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394
[es] Boletín de seguridad de Riseup
Como probablemente has leído, hay 3 problemas de seguridad relacionados a la CPU de tu computadora, los que le abren el camino que ciertos programas puedan robar tus contaseñas, secretos e información personal de tu computadora, incluyendo programas en Javascript que se ejecutan cuando estás visitando un sitio web. Estas vulernabilidades son tan serias como suenan, y debes tomar un rol activo en actualizar tu software.
* El primer problema se le denomina “Meltdown,” que afecta casi todas las CPU Intel y que se encuentra solucionado por todos la mayoría de los sistemas operativos.
El segundo se llama “Spectre,” afecta a casi todas las CPU fabricadas en los últimos 20 años, no solo Intel. Si bien es una vulnerabilidad más dificil de explotar, no hay una solución permanente para ella hoy.
Debes realizar ya los siguientes pasos, para todos tus disposivitos:
(1) Actualiza tu navegador (revisa cómo más abajo). Estos arreglos harán más complejo explotar los problemas mencionados arriba.
(2) Actualiza tu sistema operativo. Hay actualizaciones para Windows, macOS y GNU/LINUX que solucionan Meltdown para procesadores Intel. Adicionalmente, iOS y Android refuerzan las protecciones contra Spectre.
Mejores soluciones a estos problemas seguirán llegando en las próximas semanas/meses para tu sistema operativo como software. Por favor manten tu computadora actualizada!
Navegadores
Al actualizar tu navegador puedes hacer mucho más difícil para alguien intentar robar tus secretos cuando visitas una página web.
Firefox 57.0.4 y posteriores incluyen protecciones contra los problemas de Spectre [1].
Edge también ha sido actualizado con protecciones contra Spectre. Cuando actualices Windows, también recibirás la nueva versión ed Edge.
Safari será actualizado pronto, de acuerdo a Apple. Revisa la actualización en la App Store.
Chrome incluirá protecciones desde la versión 64, que se publicará el 23 de enero. Mientras tanto, puedes cambiar la configuración de Chrome para protegerte activando “site isolation” https://support.google.com/chrome/answer/7623121?hl=en
Adicionalmente puedes revisar las instrucciones en https://riseup.net/en/better-web-browsing para mejorar tu seguridad y experiencia navegando (lo que también ayuda a mitigar estos y otros ataques).
Windows
Para Windows 10, debes actualizar cualquier antivirus (si usas) antes de actualizar Windows. No hacerlo puede prodocir otros problemas. [2]
Para actualizar Windows 10:
> Presiona el botón Inicio (Start), y luego entra a Configuraciones -> Actualizaciones y seguridad -> Actualización de Windows (Settings > Update & security > Windows Update), y selecciona Ver si hay actualizaciones (Check for updates).
Este es un buen momento para habilitar que tu sistema se actualice automáticamente:
> Select the “Start” button, then select “Settings” > “Update & security” > “Windows Update” > “Advanced options” and then under “Choose how updates are installed”, select “Automatic (recommended)”.
Si estás usando Windows 7 u 8, también hay una actualización disponible.
macOS
Si ya tienes macOS versión 10.13.2 ya estás protegidx contra Meltdown [3]. De otra forma, actualiza macOS:
> Entra a la App Store en tu Mac. Presiona “Actualizaciones” y luego actualiza todos tus programas.
Es un buen momento para habilitar las actualizaciones automáticas:
> En el menú de Apple (la manzanita), selecciona “Preferencias” > “App Store” > “Buscar actualizaciones automáticamente”.
Apple planea actualizar Safari pronto para brindar mitigaciones contra Spectre. ¡Mantén tu software actualizado!
iOS
Apple has said that iOS is affected by Spectre, and an update to mitigate against most of the new attacks has been pushed. If you have iOS version 11.2 or later, then you are good.
Apple indicó que sus dispositivos iOS se encuentran afectados por Spectre y han actualizado el sistema operativo para brindar protecciones contra éste. Si tienes la versión 11.2 o posterior, estás bien! [3]
Android
Las malas noticias son que a menos que tengas un teléfono Google o que corras un firmware especial puede que no obtengas los parches de seguridad por meses. Sin embargo, el consenso es que los ataques usando Spectre son difícil de ejecutar y que hay formas más fáciles de “hackear” un dispositivo android. Si tienes actualizaciones disponibles, por favor aplícalas.
De todas formas hay cosas que puedes hacer para protegerte:
* Habilita “site isolation” en Chrome: https://support.google.com/chrome/answer/7623121?hl=en
* Actualiza Chrome el 23 de enero.
* Usa Firefox para Android
Debian/Ubuntu GNU/Linux
Actualiza tu sistema mediante “Software Center” o “Software Updater.”
Alternativa, abre un terminal y ejecuta:
sudo apt update
sudo apt upgrade
sudo reboot
Fedora GNU/Linux
Abre un terminal y ejecuta:
sudo dnf –refresh update kernel
sudo reboot
Manténgase a salvo y manténganse fuertes,
Las aves de Riseup
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394
[fr] Bulletin de sécurité Riseup
Comme vous l’avez probablement lu, il y a trois problèmes de sécurité majeurs avec les processeurs modernes. Ces vulnérabilités ont le potentiel de permettre à un programme malveillant de voler vos mots de passe, vos données sensibles et vos informations personnelles sur votre ordinateur, même si le programme n’est qu’un simple script javascript sur une page web que vous visistez. Ces failles sont très préoccupantes et vous devriez prendre tous les moyens nécessaires pour mettre à jour vos logiciels.
* La première faille, appelé « Meltdown, » touche presque tous les processeurs Intel et a été corrigé par les dernières mises à jour de la majorité des système d’exploitation.
* Les deux autres failles, appelé « Spectre, » touchent presque tous les processeurs construit dans les 20 dernières années et pas seulement ceux d’Intel. Cepenmdant, ces dernières sont plus difficile à exploiter. Il n’y a pas de correctif permanent pour Spectre en ce moment, mais si vous mettez à jour vos logiciels, vous rendrez ces attaques plus difficiles à effectuer.
Vous devriez effectuer les *deux* étapes suivantes pour tous vos appareils :
(1) Mettre à jour votre navigateur Web (voir plus bas). Ces correctifs rendent ces nouvelles attaques contre les processeurs beaucoup plus difficile à effectuer.
(2) Mettre a jour votre système d’exploitation. Il y a des mises à jour disponibles pour Windows, MacOS et GNU/Linux qui corrigent la vulnéralibité Metldown pour les processeurs Intel. De plus, les dernières versions de iOS et de Android pubilées réduisent la possibilité d’utiliser Spectre.
De meilleurs conrrectifs continuront d’être publiés dans les semaines et mois à venir afin de mieux protéger votre système d’exploitation et vos logiciels. S’il vous plait, gardez votre système à jour!
Navigateurs
En mettant à jour votre navigateur, vous pouvez rendre la tâche beaucoup plus difficile à une personne voulant voler vos données confidentiels à l’aide d’un script chargé sur une page web que vous consultez.
Les versions 57.0.1 et suivantes de Firefox intègrent des mesures d’atténuations de la faille Spectre [1].
Edge a été mis à jour pour inclure des mesures d’atténuations. Lorsque vous allez faire les mises à jour Windows, vous allez obtenir la dernière version de Edge.
Safari sera mis à jour très prochainement, selon Apple. Consultez le App Store pour les dernières mises à jour.
Google Chrome intègrera des mesures d’atténuations dès la version 64 qui sera publiée le 23 janvier prochain. D’ici là, vous pouvez changer votre configuration pour réduire les risques de la faille Spectre en activant « l’isolation des sites » https://support.google.com/chrome/answer/7623121?hl=fr
De plus, veuillez consulter https://riseup.net/en/better-web-browsing pour plus d’instructions sur les bonnes pratiques de navigation en ligne (ces bonnes pratiques aideront aussi à réduire les risques d’attaques).
Windows
Pour Windows 10, vous devez premièrement mettre à jour votre antivirus avant de mettre à jour Windows. En cas contraire, des erreurs pouvant faire en sorte que votre ordinateur arrête de fonctionner peuvent se produirent [2].
Pour mettre à jour Windows 10 :
> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » et sélectionné « Rechercher les mises à jour ».
C’est aussi un bon moment pour activer les mises à jour automatiques.
> Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » > « Options avancées ». Sous le menu « choisissez comment les mises à jour sont installées » sélectionné « Automatiquement (Recommandé) ».
Si vous utilisez Windows 7 ou 8, des mises à jour sont aussi disponibles.
macOS
Si vous avez déjà la version 10.13.2 de macOS, vous êtes protégé contre Meltdown [3]. Si ce n’est pas le cas, mettez à jour OSX.
> Ouvrez l’App Store sur votre Mac et sélectionnez l’onglet « Mises à jour ». Puis cliquez sur le bouton « Mettre à jour » pour télécharger et installer les mises à jour disponibles.
C’est aussi un bon moment pour activer les mises à jour automatiques.
> Cliquez sur la pomme en haut à gauche et allez dans « Préférences systèmes… » > « App Store » et cocher la case « Recherche des mises à jour automatique »
Apple planifie publier une mise à jour du navigateur Safari qui intègrera des aténuations pour la faille Spectre.
iOS
Apple a confirmé que iOS était touché par Spectre et qu’une mise à jour avait été publié pour aténué les possibilités d’attaques. Si vous avez les versions 11.2 ou plus récente de iOS vous êtes correct. Si ce n’est pas le cas, mettez à jour votre appareil [3].
Android
La mauvaise nouvelle est qu’Android est vulnérable et qu’à moins d’avoir un cellulaire ayant directement les mises à jour de Google ou utilisant un firmware modifié, il est possible que vous n’ayez pas de mise à jour avant des mois voire que vous n’en ayez jamais. Cependant, le consensus chez les chercheurs en sécurité, en ce moment, est que l’attaque Spectre est assez difficile qu’il y a probablement des façons plus faciles de compromettre un appareil Android. Yeah?
Il y a une chose que vous pouvez faire pour rendre votre apareil Android plus sécuritaire face à ces attaques contre les processeurs :
* Activer « l’isolation des sites Web » dans Chrome : https://support.google.com/chrome/answer/7623121?hl=fr
* Mettre à jour Chrome après le 23 janvier prochain.
* Ou utiliser Firefox for Android.
Debian/Ubuntu GNU/Linux
Ouvrez le « Centre de logiciel » ou le « Centre de mise à jour » et faites vos mises à jour.
Sinon, vous pouvez ouvrir un terminal et tapez les commandes suivantes :
sudo apt update
sudo apt upgrade
sudo reboot
Fedora GNU/Linux
Ouvrez un terminal et taper les commandes suivantes :
sudo dnf –refresh update kernel
sudo reboot
Restez en sécurité, restez fort
Les oiseaux Riseup
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394
Industrial Workers of the World Dorset 