Google e Microsoft mettono in guardia i partner circa la presenza di una nuova minacciai cui primi rinvenimenti si sono avuti fin dal mese di novembre 2017. Si tratta di una nuova categoria di attacchi side-channel che interessano l’esecuzione speculativa delle CPU new-gen, ed altro non è che un diretto derivato delle temibili minacce Spectre e Meltdown, le quali non accennano a dare tregua sul fronte sicurezza.
Nuova vulnerabilità CPU: Microsoft e Google segnalano nuovi casi
Google, Intel, AMD, Microsoft e gli altri big del settore Hi-Tech sono incorsi nelle spiacevoli conseguenze derivate dalle minacce Meltdown e Spectre, progressivamente rientrate a seguito della concessione delle opportune patch in aggiornamento.
Ma oggi si scoprono nuove minacce di sicurezza che si riportano con il nome di Variant 4, chiaramente intesa come una nuova forma di attacco derivata dalla fondamentale, In proposito, si è espressa Intel, che attraverso una comunicazione rilasciata tra le pagine del suo blog dal capo della sicurezza interna Leslie Culbertson ha fatto sapere che:
“Permettetemi di partire dicendo che non abbiamo appreso alcuna notizia sull’uso di questo metodo in exploit reali. Inoltre ci sono più strade per professionisti e consumatori di salvaguardare i loro sistemi dai potenziali attacchi, incluse mitigazioni nei browser che sono già state diffuse e sono disponibili all’uso oggi”.
“In tal caso, i ricercatori hanno dimostrato Variant 4 in un ambiente di runtime language-based. Anche se non siamo a conoscenza di un exploit di successo mediante il browser, l’uso più comune di questi runtime, come JavaScript, è nei browser web“.
Il lungo post spiega a chiare lettere che le contromisure indotte alla Variant 1 possono essere efficacemente applicate anche a questa nuova versione, grazie all’utilizzo di una combinazione di microcode della CPU e aggiornamenti software. Tale mitigazione sarà impostata su OFF per offrire libera scelta di attivazione agli utenti, che la riceveranno tramite un update BIOS che giungerà entro le prossime settimane.
“Ci aspettiamo che la maggior parte dei partner industriali del mondo software usi l’opzione off di default”, spiega il dirigente aggiungendo che l’abilitazione “impatta prestazionalmente tra circa il 2% e l’8% in base ai punteggi generali dei test come SYSmark 2014 SE e SPEC integer su sistemi di test client e server”.
A questo indirizzo si trovano poi tutti i riferimenti alle CPU interessate, che vanno dalle ultime Coffee Lake a ritroso fino alle soluzioni del 2006 per i 45nm. Le mitigazioni non influenzeranno le performance. Nel frattempo, una situazione analoga si avrà anche in casa AMD, dove a partirie da Bulldozer si renderanno disponibili mitigazinoi per gli OS dei sistemi a microprocessore.
“Microsoft sta completando il test finale e la validazione di aggiornamenti specifici per AMD per i sistemi operativi Windows client e server. […] Similmente i distributori Linux stanno sviluppando aggiornamenti del sistema operativo per SSB”.
Per ARM, invece, smartphone e tablet suscettibili alle minacce e pronti a ricevere i correttivi sono quelli delle famiglie Cortex-A57, A72, A73 e A75.