Skin ADV

Sebbene un po’ in ritardo rispetto ad altri siti, anche noi di BitsAndChips finalmente parliamo dei nuove vulnerabilità sulla sicurezza che affliggono le CPU Intel e, in misura minore, le CPU AMD (Anche le CPU IBM Power e ARM non ne sono immuni) . Questo “ritardo” è dovuto alla nostra volontà di scrivere un articolo privo di false notizie (Che spesso abbondano durante i primi tempi), ed il più possibile oggettivo.

Queste vulnerabilità sono parenti strette di quelle che abbiamo visto in gennaio, e più precisamente di quelle chiamate “Spectre”. Dopo le prime due varianti di gennaio, in queste ultime settimane sono state identificate altre nove vulnerabilità, così distribuite:

  • Spectre-NG (Otto varianti): queste vulnerabilità colpiscono in particolare le CPU Intel (Tutte le CPU Core e Xeon dalla uArch Nehalem, e tutte le CPU ATOM dalla uArch Avoton). Le patch saranno disponibili direttamente tramite Windows Update;
  • Spectre v4 (CVE-2018-3639): questa vulnerabilità richiede dei privilegi di amministrazioni limitati per essere sfruttata, ma ha un elevata complessità di exploit (Sempre che Spectre v1 sia stata patchata).

Spectre v4 sfrutta le medesime modalità di exploit di Spectre v1, come affermato da Leslie Culbertson, VP della divisione Product Assurance and Security presso Intel, e per questo può essere sfruttata (Più o meno facilmente) con tutte le moderne CPU Out-of-Order: “Variant 4 uses speculative execution, a feature common to most modern processor architectures, to potentially expose certain kinds of data through a side channel”. Proprio per questo, le patch correttive utilizzate per Spectre v1 possono essere utilizzate per mitigare Spectre v4: “Starting in January, most leading browser providers deployed mitigations for Variant 1 in their managed runtimes – mitigations that substantially increase the difficulty of exploiting side channels in a web browser. These mitigations are also applicable to Variant 4 and available for consumers to use today”. Naturalmente qualche modifica ad hoc si renderà necessaria: “To ensure we offer the option for full mitigation and to prevent this method from being used in other ways, we and our industry partners are offering an additional mitigation for Variant 4, which is a combination of microcode and software updates”.

Queste patch per Spectre NG e v4, in ultimo, potrebbero impattare tra il 2% e l’8% sulle prestazioni delle CPU, sempre secondo Intel.

Per quanto riguarda le CPU affette da queste nuove vulnerabilità, ARM fa sapere che alcuni core Cortex sono in pericolo, ma che le patch correttive sono in arrivo: “This latest Spectre variant impacts a small number of Arm Cortex-A cores and is mitigated with an Arm-developed firmware update, which can be found at www.arm.com/security-update. As with previous published Spectre variants, this latest can only be executed if a specific type of malware is running on a user’s device. Arm strongly recommends that individual users follow good security practices that protect against malware and ensure their software is up-to-date”.

AMD, invece, non si mostra preoccupata, almeno non più di quanto lo fu quando furono presentati al grande pubblico per la prima volta Spectre e Meltdown: “AMD recommended mitigations for SSB [the speculative store bypass] are being provided by operating system updates back to the Family 15 processors (“Bulldozer” products). For technical details, please see the AMD whitepaper. Microsoft is completing final testing and validation of AMD-specific updates for Windows client and server operating systems, which are expected to be released through their standard update process. Similarly, Linux distributors are developing operating system updates for SSB. AMD recommends checking with your OS provider for specific guidance on schedules.Based on the difficulty to exploit the vulnerability, AMD and our ecosystem partners currently recommend using the default setting that maintains support for memory disambiguation”.

Nel complesso, al pari di quanto accaduto con Spectre v1/v2 e Meltdown, sembra che la casa a perderci di più sia Intel, forse a causa di un'uArch vecchia di oltre 10 anni. Le altre case, infatti, sembrerebbero meno affette perché sfruttano uArch molto più recenti, probabilmente studiate anche per essere meno esposte a questo genere di exploit.

Delicious
Submit to Digg
StumbleUpon
Gian Maria Forni
Autore: Gian Maria Forni
Esperto in:
Esperto di mercati e CPU
Sebbene sia laureato in Lettere e Filosofia, indirizzo Storia Contemporanea, e scriva per quotidiani e riviste di tale settore, ha sempre avuto la passione per l'informatica ed ha collaborato quale moderatore in importanti forum del settore
Notizie postate da Gian Maria ForniArticoli postati da Gian Maria Forni
2882
news
202
articoli
    

Ultime dal forum



[Official Thread] GPU Nvidia Volta e Turing (103 messaggi)
Ultimo messaggio di: Fottemberg (14/01/2019 15:57)

[Waiting for] AMD GPU Polaris & Vega (ex-Arctic Islands) (2275 messaggi)
Ultimo messaggio di: Il nabbo di turno (11/01/2019 17:28)

[Official Topic] AMD "Zen" (1673 messaggi)
Ultimo messaggio di: gridracedriver (11/01/2019 07:46)

L'angolo delle offerte Retail e Digitali (991 messaggi)
Ultimo messaggio di: Mitch (10/01/2019 18:11)

Auguri di buone feste (23 messaggi)
Ultimo messaggio di: Tinwor (07/01/2019 18:59)

Thread delle Offerte Online (427 messaggi)
Ultimo messaggio di: Masciale (01/01/2019 19:57)

Pinout del socket AM4 (9 messaggi)
Ultimo messaggio di: ragen-fio (28/12/2018 19:43)

[RA] Fritz!Box 3272 (1 messaggi)
Ultimo messaggio di: Fottemberg (27/12/2018 18:15)

Il meglio dal forum



[Guida] all'overclock di AMD Ryzen.
Il thread per spiegare ai novizi come overclockare le CPU Ryzen, per raccogliere pareri e per scambiarci suggerimenti.

[Official Topic] AMD APU Kabini, Temash, Kaveri e... Carrizo.
Discutiamo le ultime novità sulle APU AMD basate su microarchitettura Bulldozer e Jaguar.

[Waiting for] AMD GPU Polaris & Vega (ex-Arctic Islands).
Discutiamo le ultime novità sulle GPU Polaris di AMD, senza dimenticarci di Vega!

[Official Topic] Nvidia Pascal GPU.
Discutiamo le ultime novità sulle GPU Pascal di NVIDIA e su quanto ci aspetta in futuro!

[Official Topic] AMD "Zen".
Discutiamo le ultime novità sulla microarchitettura x86 Zen di AMD e le CPU/APU in arrivo.

Creative Sound Blaster e Windows 10/8.1/8/7/Vista.
Dedicato a tutti i possessori delle schede audio di Creative Labs!

B&C e la questone "degli articoli prezzolati".
Perché B&C è un portale diverso?