Intel rivela l’esistenza di una quarta variante della vulnerabilità Spectre

Still Spectre Inside

Individuata una nuova variante della vulnerabilità Spectre. Non sono noti casi di exploit ai danni dei clienti ma Intel sta preparando un update del microcodice per i processori.

La divulgazione nelle settimane scorse delle falle denominate Spectre e Meltdown ha permesso di scoprire l’esistenza di falle nell’architettura di numerosi processori di diversi produttori che li rendono vulnerabili ad attacchi di tipo side-channel; questo tipo di attacchi sfruttano caratteristiche di componenti hardware e software per ottenere informazioni che normalmente non sono accessibili, utili a compromettere la sicurezza di un dispositivo o di un sistema.

Sono state individuate più varianti e Intel e suoi partner industriali hanno indicato una nuova variante degli attacchi  denominata Variant 4. Il produttore di CPU spiega di non aver rilevato l’uso della vulnerabilità nel mondo reale ma che esistono più modi per mettersi al sicuro, incluse tecniche che gli sviluppatori di browser possono adottare e delle quali alcuni hanno già cominciato a tenere conto.

Intel afferma di avere già inviato agli costruttori terzi e ai vendor software la beta dell’aggiornamento del microcodice per i processori per la Variante 4 della vulnerabilità e già dalla prossima settimana l’update dovrebbe essere disponibile.

Il meccanismo che consente di mitigare la nuova vulnerabilità sarà opzionale e l’utente potrà decidere se attivarlo o no: la scelta è obbligatoria perché l’impatto sulle performance complessive secondo Intel varierà dal 2% all’8%. L’aggiornamento preparato da Intel include microcodice che risolve la Variant 3a (Rogue System Register Read) in precedenza pubblicamente documentata da Arm a gennaio. Intel dice di non avere in questo caso osservato un significativo impatto in termini di performance nei benchmark su client e server.

Non è chiaro se la nuova variante della vulnerabilità fa parte delle otto nuove falle rese note all’inizio di questo mese, una delle quali era indicata come una variante di Spectre. I problemi riguardano tutti i processori moderni e interessano quasi tutti i dispositivi informatici e i sistemi operativi.

Apple ha già rilasciato soluzioni con iOS 11.2, macOS 10.13.2 e tvOS 11.2 come protezione da Meltdown. Anche gli aggiornamenti di sicurezza per macOS Sierra e OS X El Capitan includono soluzioni per Meltdown. Per proteggersi da Spectre, Apple ha rilasciato soluzioni in iOS 11.2.2, nell’aggiornamento supplementare di macOS High Sierra 10.13.2 e in Safari 11.0.2 per macOS Sierra e OS X El Capitan. Apple Watch non è interessato da Meltdown e Spectre.

Apple, Microsoft, Intel, Google e tutti i big del settore sono tuttora impegnata a sviluppare e testare ulteriori soluzioni per questi problemi che verranno rilasciate nei prossimi aggiornamenti dei sistemi operativi: ve ne diamo conto nella nostra sezione dedicata a Spectre e Meltdown con i riferimenti ai link per scaricare gli aggiornamenti.