Il mondo delle CPU scosso da nuove vulnerabilità della stessa classe di Spectre e Meltdown

Nel corso della notte sono circolate alcune informazioni riguardanti l'esistenza di una nuova serie di vulnerabilità della stessa classe di Spectre e Meltdown e che sono attualmente sotto analisi da parte della comunità di ricercatori di sicurezza. Le informazioni sono state diffuse dal sito tedesco Heise.de, che avrebbe a disposizione in maniera esclusiva alcuni elementi le cui fonti tuttavia non sono note.

Intanto Intel ha pubblicato una nota, "Question Regarding Additional Security Issues", per prendere ufficialmente posizione sull'argomento e anticipare che nei prossimi giorni saranno rilasciati tutti i dettagli tecnici delle nuove vulnerabilità.

"Proteggere i dati dei nostri clienti ed garantire la sicurezza dei nostri prodotti sono per noi priorità critiche. Siamo abitualmente al lavoro con clienti, partner e altri produttori e ricercatori per capire e mitigare qualsiasi problema che venga identificato, e parte di questo processo coinvolge riservare blocchi dei numeri CVE (Common Vulnerabilities and Exposures, i codici che permettono di identificare univocamente eventuali vulnerabilità). Crediamo fortemente nel valore della divulgazione coordinata e condivideremo ulteriori dettagli su qualsiasi potenziale problema non appena avremo pronte le contromisure. Come best practice continuiamo ad esortare chiunque a mantenere aggiornati i propri sistemi" si legge nel comunicato di intel firmato da Leslie Culbertson, executive vice president e general manager per le operazioni Product Assurance and Security per la società di Santa Clara.

Attualmente lo scenario sembra molto simile a quanto accaduto con Meltdown e Spectre, quando le informazioni di queste vulnerabilità sono circolate frammentariamente prima dell'annuncio coordinato. Secondo quanto indica il sito tedesco si tratterebbe di 8 diverse falle individuali, ciascuna con uno specifico codice CVE, che per il momento vengono raccolte sotto il nome di Spectre-NG.

Intel sarebbe al lavoro per due ondate di patch, la prima che verrà rilasciata presumibilmente nel corso del mese di maggio il che fa presumere la divulgazione delle informazioni prima del consueto Patch Tuesday di maggio. Nel frattempo le informazioni su una seconda falla potrebbero essere rilasciate in qualunque momento. La maggior parte delle informazioni diffuse da Heise.de si concentrano su Intel - poichè evidentemente è il materiale che il sito ha a disposizione - ma viene comunque osservato che anche ARM e AMD potrebbero essere toccati dal problema.

Sebbene la natura dell'articolo di Heise non consenta di confermare o smentire alcunchè, nel complesso sembra che le informazioni riportate siano coerenti con le preoccupazioni sollevate in precedenza dai ricercatori di sicurezza, e in particolare con il fatto che Spectre può implicare un'ampia classe di attacchi in grado di sfruttare la medesima debolezza fondamentale. Si tratta, inoltre, di attacchi particolarmente potenti e ancora sufficientemente nuovi da non essere compresi a fondo.

La vicenda pone ulteriore pressione sui produttori di CPU che si trovano a questo punto nella necessità di trovare una risposta ad una domanda chiave: le tecniche di speculative execution (dalle quali nasce proprio il problema Spectre) sono fondamentalmente insicure o possono essere utilizzate se rese sicure? Trattandosi di uno dei tasselli fondamentali dei moderni processori ad alte prestazioni, la risposta alla domanda andrà inevitabilmente a condizionare il mondo delle CPU negli anni a venire.