Meltdown e Spectre sono le famigerate vulnerabilità scoperte circa un anno fa nei processori Intel. Un gruppo di ricercatori ha ora individuato nuovi bug che sfruttano l’esecuzione speculativa per accedere a dati sensibili, come password o chiavi crittografiche. Intel ha distribuito le patch per alcune CPU. Anche Microsoft, Apple e Google hanno rilasciato un aggiornamento per i loro sistemi operativi.
Il gruppo di quattro vulnerabilità è stato denominato collettivamente MDS (Microarchitectural Data Sampling). Il sito CPU.fail ha assegnato ai quattro tipi di attacco i nomi ZombieLoad, RIDL, Fallout e Store-To-Leak Forwarding. Intel spiega che tutti permettono ad un software di leggere dati ai quali non dovrebbero avere accesso. Questi dati sono memorizzati all’interno dei processori durante l’esecuzione speculativa, una tecnica utilizzata per incrementare le prestazioni attraverso l’esecuzione anticipata delle operazioni, come la predizione delle diramazioni o il precaricamento in memoria.
Le vulnerabilità sono presenti nelle CPU Intel rilasciate a partire dal 2011. Solo alcuni processori di ottava e nona generazione hanno una protezione hardware contro gli attacchi. Le CPU di AMD e ARM sono invece immuni. Come per Meltdown e Spectre, la soluzione potrebbe non essere definitiva, in quanto occorrono modifiche all’architettura. Intel ha sviluppato nuovi firmware (microcodice) che verranno distribuiti dai produttori di schede madri. È necessario anche installare le patch rilasciate per i sistemi operativi (Windows, macOS, Linux e Chrome OS). L’impatto sulle prestazioni è limitato.
Intel ha assegnato a tre vulnerabilità un punteggio di gravità medio (6,5), mentre la quarta è stata considerata di gravità bassa (3,8). I dettagli tecnici sono pubblicati in questa pagina. Gli utenti devono verificare la disponibilità di aggiornamenti sui siti dei rispettivi produttori.