Vulnerabilità nei processori: scoperte nuove varianti di Spectre nelle CPU Intel, AMD e ARM

Due ricercatori individuano alcune falle di sicurezza nei processori di vari produttori. Intel paga a loro il riconoscimento in denaro più importante di sempre: 100.000 dollari.

I moderni microprocessori con pipeline usano l’esecuzione speculativa per ridurre il costo delle istruzioni di salto condizionato. Quando viene incontrata un’istruzione di salto condizionato, il processore prova a ipotizzare quale delle due strade è più probabile che venga imboccata e comincia immediatamente ad eseguire le istruzioni da quel punto. Nel caso in cui l’ipotesi si rivelasse poi errata, tutte le elaborazioni svolte in anticipo vengono opportunamente eliminate.

La scoperta delle vulnerabilità Meltdown e Spectre, all’inizio di quest’anno, ha fatto da apripista per una serie di successivi studi sulla stessa funzionalità dei processori. Ulteriori lacune sono state infatti individuate sia nelle CPU Intel che in quelle della concorrenza.


Adesso Intel ha versato il premio in denaro più importante da quando esiste il bug bounty program dell’azienda: la società di Santa Clara ha infatti staccato un assegno da ben 100.000 dollari a un ricercatore del MIT e a un altro tecnico.

I due hanno infatti scoperto ulteriori varianti di Spectre che permettono di modificare il contenuto della memoria configurata come di sola lettura ed eseguire codice dannoso.
Per poter far leva sulle nuove falle di sicurezza, il codice nocivo deve essere necessariamente eseguito sul sistema vulnerabile (non è possibile avviare codice arbitrario direttamente in modalità remota, a meno di non sfruttare altre falle di sicurezza).

Sia Intel che ARM hanno confermato che alcune delle loro CPU sono vulnerabili alla nuova falla Spectre 1.1 (questa l’analisi di Intel e qui quella di ARM). Anche i processori AMD sarebbero vulnerabili.
Per quanto riguarda l’altra vulnerabilità (Spectre 1.2) i ricercatori non hanno al momento fornito una lista delle CPU affette dal problema.

Ancora una volta, i produttori di CPU provvederanno a realizzare e rilasciare gli aggiornamenti microcode che dovranno poi essere fatti propri e distribuiti dalle società partner (ad esempio, le società produttrici di schede madri).

Ti consigliamo anche

Link copiato negli appunti