Scoperto nuovo bug nei processori Intel, AMD e ARM

Il team Project Zero di Google e il Security Response Center di Microsoft hanno individuato un’altra vulnerabilità nei processori Intel, AMD e ARM. Dato che sfrutta l’esecuzione speculativa, in modo simile alle tre rese note all’inizio di gennaio (conosciute con i nomi Meltdown e Spectre), la nuova falla di sicurezza è stata identificata come Variante 4.

Intel ha pubblicato un post dettagliato per illustrare il nuovo bug, noto come Speculative Store Bypass, specificando innanzitutto che non si segnalano al momento exploit in circolazione. Analogamente alle prime tre vulnerabilità, anche la Variante 4 permette di leggere i dati in aree di memoria solitamente inaccessibili ai software. In questo caso, i ricercatori hanno verificato che la falla può essere sfruttata in ambienti di runtime language-based. Uno dei metodi più comuni prevede l’esecuzione di codice JavaScript all’interno dei browser.

Gli aggiornamenti rilasciati dal mese di gennaio per Chrome, Edge, Internet Explorer, Firefox e Safari sono validi anche per la nuova vulnerabilità. Tuttavia tutte la parti coinvolte rilasceranno ulteriori mitigazioni, ovvero una combinazione di update software e microcodice per i processori. Gli utenti dovranno quindi installare le patch tramite Windows Update e i BIOS distribuiti dai produttori di schede madri. Intel ha già consegnato una versione beta del microcodice agli OEM e alle software house, quindi la versione definitiva è attesa per le prossime settimane.

Visto che i rischi sono bassi, la mitigazione è disattivata di default. I clienti decideranno se attivarla o meno, in quanto è stato osservato un impatto sulle prestazioni compreso tra il 2% e l’8% con i test SYSmark 2014 SE e SPEC integer rate sui sistemi client e server. L’aggiornamento include anche il microcodice per la Variante 3a (Rogue System Register Read) documentata da ARM a gennaio. Ovviamente non si tratta di soluzioni definitive. È infatti necessario modificare l’architettura dei processori. Bisognerà quindi attendere l’arrivo delle CPU Intel Core di ottava generazione nella seconda metà dell’anno e AMD Zen 2 all’inizio del 2019.