Quando vengono scoperte gravi vulnerabilità a livello più basso del sistema, non sempre ci si riesce a salvare con una semplice patch ed è il caso dell’ultima grave falla che sembra colpire tutti i processori Intel con architettura x86-64 realizzati nell’ultimo decennio.

Questo errore di progettazione è ancora tenuto top-secret nei dettagli al fine di non permettere a malintenzionati di sfruttare questa vulnerabilità nelle CPU Intel, ma la notizia è stata riferita in un report i The Register che conferma come i dettagli di questa vulnerabilità siano ancora sotto embargo fino al rilascio delle patch necessarie.

Quello che sappiamo è che l’errore di progettazione permette di accedere alla memoria protetta del kernel con “semplici” codici eseguiti a livello utente e tra questi anche app JavaScript che potrebbero essere diffuse tramite un sito web. Nella peggiore delle ipotesi questa falla permetterebbe di leggere i dati sensibili della macchina in cui è installata accedendo a password e credenziali presenti nelle memoria del kernel che non sarà più isolata dal sistema operativo.

La Patch ridurrà le prestazioni

Questo bug è ritenuto particolarmente grave e non può essere chiuso direttamente con una patch, ma richiede una sostituzione fisica della CPU o una parziale riscrittura dei sistemi operativi.

La soluzione che adotterà la patch si basa sulla separazione totale della memoria del kernel dai processi eseguiti normalmente, utilizzando quello che viene chiamato KPTI: Kernel Page Table Isolation. Questo gestirà in maniera diversa il passaggio a livello kernel tra user-mode e kernel-mode che verrà eseguita in un’istanza completamente protetta da quella dell’utente. Il lato negativo della medaglia è che l’applicazione di questa patch avrà un impatto notevole sulle prestazioni del sistema, con cali di performance che variano dal 5 al 30% in base a diverse variabili, anche se il caso peggiore delle simulazioni è stato riscontrato nelle macchine virtuali.

Si tratta di un colpo estremamente pesante, non solo per gli utenti che sfruttano al massimo le proprie workstation, ma anche per tutte le principali infrastrutture cloud come Microsoft Azure, Amazon EC2 e Google Compute Engine che vedranno le performance notevolmente ridotte.

AMD non è affetta da questa falla

Solo i processori Intel sono affetti da questa vulnerabilità e intanto AMD ha già rilasciato una dichiarazione nella quale afferma che le proprie CPU non permettono accessi ai dati presenti in una memoria di più alto livello da parte di una di basso livello.

Il bug permetterebbe infatti di  mantenere la pipeline piena di istruzioni così da eseguire nel modo più efficiente possibile le istruzioni e i core della CPU hanno la possibilità di ipotizzare quale sarà il prossimo codice ad essere processato e proprio questo potrebbe essere utilizzato per eseguire delle funzioni non soggette a tutti i controlli di sicurezza.

La Patch arriverà nei prossimi giorni

Ovviamente la patch ha massima priorità e Microsoft ha cominciato a testare alcune soluzioni sul Fast Ring del programma Windows Insider e potrebbe rilasciare la patch finale già ad inizio della prossima settimana a tutti gli utenti.

Per i sistemi operativi Linux verrà presto rilasciata una patch dal nome KAISER che verrà estesa anche al kernel ARM a 64 bit per separare gli spazi utente da quelli del kernel.

Al momento non ci sono dettagli noti riguardo l’implementazione della patch su macOS, anche se pure Apple è al lavoro per correggere la vulnerabilità in breve tempo.

Davvero un brutto colpo all’immagine e alle vendite di Intel, così come per gli utenti che si troveranno con meno potenza di calcolo rispetto ad ora.

Via
Ti invieremo un' email a settimana, puoi cancellare l'iscrizione in qualunque momento.

Potrebbe interessarti anche:


Partecipa alla discussione: