Dopo l’affaire Meltdown e Spectre (Verificare se il processore in uso è vulnerabile a Meltdown e Spectre) Intel ha deciso di aprire a tutti il programma per la ricerca di eventuali nuovi bug sui suoi processori.
Fino “a ieri” l’accesso al bug bounty program era infatti possibile solo su invito: adesso a ogni ricercatore che scoverà nuove lacune di sicurezza nei processori della casa di Santa Clara potrà ricevere in premio fino a 250.000 dollari. A patto che, ovviamente, i dettagli sulle vulnerabilità siano condivisi in privato direttamente con i tecnici di Intel, mantenendo quindi il più stretto riserbo.
I premi più ricchi vengono “messi in palio” a fronte della scoperta di eventuali vulnerabilità side-channel: si tratta dei bug più gravi che spesso hanno a che fare con errori di progettazione, come Meltdown e Spectre appunto.
Per tutte le altre aree d’interesse, invece, Intel riconoscerà importi in denaro fino a 100.000 dollari, come spiegato in questa pagina.
Nuove modalità per sfruttare le falle Meltdown e Spectre
Frattanto un team di ricercatori in forze presso NVidia e la Princeton University hanno scoperto nuove modalità per far leva sulle vulnerabilità Meltdown e Spectre individuate nei processori.
Battezzate MeltdownPrime e SpectrePrime, come spiegato in questo documento tecnico, due core vengono posti “l’uno contro l’altro” così da ingannare i sistemi multicore e ottenere accesso ai dati conservati nella cache.
La buona notizia è che già aggiornamenti per il microcode che Intel e gli altri produttori hanno rilasciato sono adeguati per proteggersi anche dalle nuove modalità di attacco.