Speculative Store Bypass, il nuovo bug nei processori Intel scoperto da Google e Microsoft

Nuovo bug nei processori , aggiornamenti in arrivo . Microsoft e Google hanno congiuntamente rivelato di aver scoperto una nuova vulnerabilità di sicurezza nei processori Intel in qualche modo simile ai difetti Meltdown e Spectre resi noti all’inizio di quest’anno. Nominata Speculative Store Bypass (variante 4), l’ultima vulnerabilità è simile all’exploit Spectre e sfrutta l’esecuzione speculativa che le moderne CPU utilizzano. I browser come Safari, Edge e Chrome sono stati tutti “pachati” per Meltdown all’inizio di quest’anno e Intel afferma che “questi correttivi sono applicabili anche alla variante 4 e sono disponibili per i consumatori oggi”.

Nuovo bug nei processori : scoperto da Google e Microsoft

Tuttavia, a differenza di Meltdown (e più similarmente a Spectre), questa nuova vulnerabilità, questo bug nei processori, necessiterà anche di aggiornamenti del firmware per le CPU che potrebbero influire sulle prestazioni. Intel ha già consegnato agli OEM gli aggiornamenti del microcodice per Speculative Store Bypass in versione beta e la società si aspetta che siano resi più ampiamente disponibili nelle prossime settimane. Gli aggiornamenti del firmware imposteranno la protezione dallo Speculative Store Bypass su off di default, assicurando che la maggior parte delle persone non noteranno impatti negativi sulle prestazioni.

Speculative Store Bypass, il nuovo bug nei processori la soluzione rallenta fino all’8% i pc

“Se abilitato, abbiamo osservato un impatto sulle prestazioni di circa il 2-8% in base ai punteggi complessivi di benchmark come SYSmark 2014 SE e il tasso intero SPEC nei sistemi di test client 1 e server 2”, spiega Leslie Culbertson, responsabile della sicurezza di Intel.

Di conseguenza, gli utenti finali (e in particolare gli amministratori di sistema) dovranno scegliere tra sicurezza o prestazioni ottimali, risolver il nuovo bug dei processori o mantenere la velocità attuale delle macchineLa scelta, come per le versioni precedenti di Spectre, verrà ridotta a singoli sistemi e server e questa nuova variante sembra essere meno rischiosa rispetto ai difetti della CPU scoperti all’inizio di quest’anno.

Nuovo bug nei processori: offerti 250.000 dollari a chi lo trova

Microsoft ha iniziato a offrire fino a $250.000 per chi trova bug nei processori che sono simili ai difetti della CPU Meltdown e Spectre a marzo e l’azienda sostiene di aver scoperto questo nuovo bug a novembre. “Microsoft ha scoperto questa variante in precedenza e l’ha rivelata ai partner del settore nel novembre del 2017 come parte del Coordinated Vulnerability Disclosure (CVD)”, ha affermato un portavoce di Microsoft. Microsoft sta ora lavorando con Intel e AMD per determinare l’impatto sulle prestazioni dei sistemi.

Nuovo bug nei processori: le soluzioni

“Stiamo continuando a collaborare con i produttori di chip interessati e abbiamo già rilasciato soluzioni di difesa approfondite per affrontare le vulnerabilità di esecuzioni speculative nei nostri prodotti e servizi”, ha affermato un portavoce di Microsoft. “Non siamo a conoscenza di alcuna istanza di questa classe di vulnerabilità che riguardi Windows o la nostra infrastruttura di servizi cloud. Ci impegniamo a fornire ulteriori mitigazioni ai nostri clienti non appena disponibili e la nostra politica standard per le problematiche a basso rischio è quella di fornire rimedi tramite il nostro programma di aggiornamento Update Tuesday.”

Speculative Store Bypass, il nuovo bug nei processori e Intel

Intel sta già preparando le proprie modifiche per risolvere il difetto della CPU e sta riprogettando i suoi processori per proteggersi da attacchi come Spectre o questa nuova variante 4 e i processori Xeon di nuova generazione dell’azienda (Cascade Lake) includeranno nuove protezioni hardware integrate, insieme ai processori Intel Core di 8a generazione che verranno venduti dalla seconda metà del 2018.